分布式理论 | 青训营笔记

这是我参与「第五届青训营 」伴学笔记创作活动的第 9 天

分布式理论

1.分布式概述

1.1 什么是分布式

分布式系统是计算机程序的集合，这些程序利用跨多个独立计算节点的计算资源来实现共同的目标。可以分为分布式计算、分布式存储、分布式数据库等。

优势

1. 去中心化
2. 低成本
3. 弹性
4. 资源共享
5. 可靠性高

挑战

1. 普通的节点故障
2. 不可靠的网络
3. 异构的机器与硬件环境
4. 安全

1.2 分布式的必要性

使用者角度

• 原因：1.数据爆炸，对存储和计算有大规模运用的需求；2.成本低，构建在廉价服务器之上。
• 如何实现：1.分布式框架；2.成熟的分布式系统。
• 目标规划：1.理清规模，负载，一致性要求等；2.明确稳定性要求，制定技术方案。

学习者角度

• 原因：1.后端开发必备技能；2.帮助理解后台服务器之间协作的机理。
• 如何学习：1.掌握分布式理论；2.了解一致性协议。
• 学习规划：1.把要点深入展开，针对难点搜索互联网资料进行学习；2.将所学知识运用于实践。

1.3 常见的分布式系统

分布式存储

1. Google File System（GFS）：google 分布式文件存储系统

2. Ceph：统一的分布式存储系统

3. Hadoop HDFS：基于 GFS 架构的开源分布式文件系统

4. Zookeeper：高可用的分布式数据管理与系统协调框架

分布式数据库

1. Google Spanner：google 可扩展的、全球分布式的数据库
2. TiDB：开源分布式关系型数据库
3. HBase：开源 Nosql 数据库
4. MongoDB：文档数据库

分布式计算

1. Hadoop：基于 MapReduce 分布式计算框架
2. Spark：在 Hadoop 基础之上，使用内存来存储数据
3. YARN：分布式资源调度

2.系统模型

2.1 故障模型

• Byzantine failure：节点可以任意篡改发送给其他节点的数据
• Authentication detectable byzantine failure（ADB）：Byzantine failure 的特例，节点可以篡改数据，但不能伪造其他节点的数据
• Performance failure：节点未在特定时间段内收到数据，即时间太早或太晚
• Omission failure：节点收到数据的时间无限晚，即收不到数据
• Crash failure：在 omission failure 的基础上，增加了节点停止响应的假设，即持续性地 omission failure
• Fail-stop failure：在 Crash failure 的基础上增加了错误可检测的假设

故障	描述	可能的类型
磁盘故障	如：磁头不寻道、盘片不转、磁介质损伤等。年发生率 1-2%	Fail-stop
磁盘坏道、坏块	磁头划伤引起坏道，或受宇宙射线影响晶体管产生位反转	Fail-stop，ADB
服务器主板、板卡故障	可能是风扇故障，或灰尘引起的短路，或 SCSI/RAID 卡造成的死机	Crash
网络故障	电源故障、背板故障等，网卡位反转、网络流量大造成大量丢包等	Byzantine，Omission
网络分区	网络分区异常引起节点形成不同的子集，子集中网络相遇，子集间网络不通	Performance
内存故障	内存出错造成的数据被篡改，分为 UE、CE 两种	ADB
线缆故障	服务器光模块频繁 up 或 down	Performance，Omission
内核崩溃	内核内部的致命错误，产生的 kernel panic	Crash
CPU 故障	年故障率接近 1%	Omission、Crash
电源故障	服务器失去电力支撑	Omission
软件故障	如：进程 crash、内存踩坏、状态不一致、配置错误、软件 bug 等	Byzantine、Crash 等

2.2 拜占庭将军问题

两将军问题（Two Generals' Problem）：两支军队的将军只能派信使穿越敌方领土相互通信，以此约定进攻时间。该问题希望求解如何在两名将军派出的任何信使都可能被俘虏的情况下，就经过时间达成共识。

结论是，两将军问题被证实是无解的电脑通信问题，两支军队理论上永远无法达成共识。

方案一：同时发送 N 个信使，任何一个达到对方军队，都算成功。

方案二：设置超时时间，发送后未在一定时间返回，则加派信使。

共识与消息传递不是一个概念：即使保证了消息传递成功，也不能保证达成共识。

TCP 三次握手是在两个方向确认包的序列号，增加了超时重试，是两将军问题的一个工程解。

思考

1. 为何 TCP 需要三次握手？而不是两次或四次？

   可以参考一下笔者个人整理的笔记s-chance/packet-tracer: 计算机网络 | Packet Tracer的使用

2. 挥手过程中，如果 FIN 报文丢失，会发生什么结果？

   参考TCP 三次握手和四次挥手，中间失败了会发生什么？ - 知乎 (zhihu.com)

拜占庭将军考虑更加普适的场景，例如 3 个将军 ABC 互相传递消息，消息可能丢失，也可能被篡改，当有一个将军是“叛徒”（即出现拜占庭故障）时，整个系统无法达成一致。

如果没有“叛徒”，无论各自观察到怎样的敌情，总能达成一致的行动。

假设由于“叛徒” C 的存在，将军 A 和将军 B 获得不同的信息。这样将军 A 获得 2 票进攻 1 票撤退的信息，将军 B 获得 1 票进攻 2 票撤退的信息，产生了不一致。

考虑当 4 个将军，只有 1 个叛徒的场景。将军 D 作为消息分发中枢，约定如果没收到消息则执行撤退。

• 如果 D 为 “叛徒”，ABC 无论收到任何消息，总能达成一致
• D 为 “忠将”，ABC 中有 2 人将 D 的消息进行正确的传递，同样能保证最终决策符合大多数。

进而能够证明，当有 3m+1 个将军，其中有 m 个“叛徒”时，可以增加 m 轮协商，最终达成一致。

2.3 共识和一致性

读请求和写请求并发时可能读到旧值

客户端 A 读到 x=0，当客户端 C 正在写入时，客户端 A 和 B 可能读到 0 或者 1。但是当 C 写入完成后，A 和 B 最终能读到一致的数据。这样的一致性被称为 Eventually consistent（最终一致性）。

一旦某个读获取到新值，所有的客户端都必须返回新值

当客户端 A 读到更新的版本 x=1 后，及时将消息同步给其他客户端，这样其他客户端立即能获取到 x=1。这样的一致性被称为 Linearizability（线性一致性）

如果要保证“线性”一致性，多个节点间势必需要进行协商，以寻求一致。这样会增加延迟，系统可用性便会受损。

2.4 时间和事件顺序

1978 年 Leslie Lamport 发表在 Communications of the ACM 上的论文 Time, Clocks, and the Ordering of Events in a Distributed System

我们定义“happened before”关系，记为“→”。其满足如下三个条件

• 如果 a 和 b 是在相同节点上的两个事件，a 在 b 之前发生，则定义 a → b
• 如果事件 a 表示某个节点发送某条消息，b 是另一个节点接受这条消息，则有 a → b
• 如果有 a → b 且 b → c，则有 a → c

当且仅当 a $\nrightarrow$ b 且 b $\nrightarrow$ a 时，则称两个事件为并发的（concurrent）。

Lamport 逻辑时钟

对于每一个节点 Pi 定义时钟 Ci 为一个函数，它为任意的事件 a 赋值编号为 Ci（a）

1. 如果 a 和 b 是在相同节点 Pi 上的两个事件，a 在 b 之前发生，则有 Ci（a）< Ci（b）
2. 如果事件 a 表示节点 Pi 发送某条消息， b 表示节点 Pj 接受这条消息，则有 Ci（a）< Cj（b）

利用逻辑时钟，可以对整个系统中的事件进行全序排序。

3.理论基础

3.1 CAP 理论

选项	描述
C（Consistence）	一致性，指数据在多个副本之间能够保持一致的特性（严格的一致性）。
A（Availability）	可用性，指系统提供的服务必须一直处于可用的状态，每次请求都能获取到非错的响应，但是不保证获取的数据为最新数据。
P（Network partitioning）	分区容错性，分布式系统在遇到任何网络分区故障的时候，仍然能够对外提供满足一致性和可用性的服务，除非整个网络环境都发生了故障。

CAP 理论往往运用于数据库领域，同样适用于分布式存储方向

一个分布式系统最多只能同时满足 CAP 理论三项中的两项，因此有以下几种设计

• CA：放弃分区容错性，加强一致性和可用性，即传统的单机数据库的选择。

• AP：放弃一致性（这里的一致性是指强一致性），追求分区容错性和可用性，例如一些注重用户体验的系统。

• CP：放弃可用性，追求一致性和分区容错性，例如与资金安全相关的系统。

目前大多数都是分布式系统，因此网络分区是必备的。在网络发生分区的情况下，必须在可用性和一致性之间做出选择。

近似解决方法：把故障节点的负载转移给备用节点负责。

3.2 ACID 理论

事务是数据库系统中非常重要的概念，它是数据库管理系统执行过程中的一个逻辑单元，它能够保证一个事务中的所有操作要么全部执行，要么全都不执行。

数据库事务拥有四个特性 ACID，分别是原子性（Atomicity）、一致性（Consistency）、隔离性（Isolation）和持久性（Durability）

• 原子性（A）

  原子性是指事务包含的操作要么全部成功，要么全部失败回滚。

• 一致性（C）

  一致性是指事务必须使数据库从一个一致性状态变换到另一个一致性状态，即一个事务执行之前和执行之后都必须处于一致性状态。

• 隔离性（I）

  隔离性是指当多个用户并发访问数据库时，数据库为每一个用户开启的事务，不能被其他事务的操作所干扰，多个并发事务之间要相互隔离

• 持久性（D）

  持久性是指一个事务一旦被提交了，那么对于数据库中的数据的改变就是永久性的，即使是在数据库系统遇到故障的情况下，也不会丢失提交事务的操作

3.3 BASE 理论

Base 理论是对 CAP 理论中一致性和可用性权衡的结果，其来源于对大型互联网分布式实践的总结，是基于 CAP 定理逐步演化而来的。其核心思想是

• Basically Available（基本可用）：假设系统出现了不可预知的故障，但是还能使用，只是相比较正常的系统而言，会有响应时间上的损失或功能上的损失。
• Soft State（软状态）：允许系统中的数据存在中间状态，并认为该状态不影响系统的整体可用性，即允许系统在多个不同节点的数据副本存在数据信息延时。
• Eventually Consistent（最终一致性）：系统能够保证在没有其他新的更新操作的情况下，数据最终一定能够达到一致的状态，因此所有客户端对系统的数据访问最终都能够获取到最新的值。

4.分布式事务

4.1 二阶段提交

二阶段提交（Two-phase Commit）：为了使基于分布式系统架构下的所有节点在进行事务提交时保持一致性而设计的一种演算法。

三个假设

1. 引入协调者（Coordinator）和参与者（Participants），互相进行网络通信
2. 所有节点都采用预写式日志，且日志被写入后即被保持在可靠的存储设备上
3. 所有节点不会永久性损坏，即使损坏后仍然可以恢复

可能出现的情况

1. Coordinator 不宕机，Participants 宕机，需要进行回滚操作。

   回滚：在 Prepare 阶段，如果某个事务参与者反馈失败消息，说明该节点的本地事务执行不成功，必须回滚。

2. Coordinator 宕机，Participants 不宕机，可以引入新的协调者，待查询状态后，重复二阶段提交。

3. Coordinator 宕机，Participants 宕机。无法确认状态，需要数据库管理员的介入，防止数据库进入一个不一致的状态。

二阶段提交需要注意的问题

1. 性能问题

   两阶段提交需要多次节点间的网络通信，耗时过大，资源需要进行锁定，徒增资源等待时间。

2. 协调者单点故障问题

   如果事务协调者节点宕机，需要另起新的协调者，否则参与者处于中间状态无法完成事务。

3. 网络分区带来的数据不一致

   一部分参与者收到了 Commit 消息，另一部分参与者没收到 Commit 消息，会导致节点之间数据不一致。

思考

1. 日志被保存在 [可靠] 的存储设备上。如何保证这一点？

   参考分布式日志存储架构设计方案 - 知乎 (zhihu.com)

2. 参与者 Commit 了，但 Ack 信息协调者没收到怎么办？

   参考12.4 故障恢复（Crash Recovery） - 知乎 (zhihu.com)

4.2 三阶段提交

三阶段提交 vs 二阶段提交

三阶段提交将二阶段提交中的 Prepare 阶段拆成两部分：CanCommit 和 PreCommit 机制。

• Coordinator 在 CanCommit 阶段向 Participants 询问是否可以执行
• Participants 回复可以则进入 PreCommit 阶段，失败或超时则退出
• 在 PreCommit 阶段 Coordinator 再次向 Participants 询问是否可以执行
• Participants 回复可以则进入 DoCommit 阶段，失败或超时则 Rollback
• 在 DoCommit 阶段 Coordinator 向所有人提交事务请求
• Participants 在收到 Coordinator 的事务请求并执行之后提交反馈结果 Ack 给 Coordinator

这解决了两个问题

1. 单点故障问题
2. 阻塞问题

另外引入超时机制，在等待超时之后，会继续进行事务的提交。

思考

三阶段缓和了二阶段面临的单点故障问题，但依然未解决以下问题

1. 性能问题
2. 网络分区场景带来的数据一致性问题

4.3 MVCC

在数据库的实际使用过程中，可能会出现资源竞争导致数据不一致等问题。需要有一种机制来保证数据的正确访问和修改，这种机制就是数据库的并发控制。其中乐观并发控制、悲观并发控制和多版本并发控制是数据库并发控制主要采用的技术手段。

悲观并发控制，也称为“悲观锁”。操作数据时直接把数据锁住，直到操作完成之后才会释放锁；上锁期间其他人不能修改数据。

乐观并发控制，也称为“乐观锁”。不会上锁，只是在执行更新时判断别人是否修改数据，只有冲突时才放弃操作。

多版本并发控制 MVCC，维持一个数据的多个版本使读写操作没有冲突。所以既不会阻塞写，也不会阻塞读。MVCC 为每个修改保存一个版本，并和事务的时间戳相关联。可以提高并发性能，解决脏读的问题。

Spanner 论文里通过 TrueTime API 提供一个物理时钟的方式。服务器时钟偏差在 1 到 7ms 之间。

另外一种时间戳的实现：时间戳预言机（TSO），采用中心化的授时方式，所有协调者向中心化节点获取时钟。优点是算法简单，实现方便，但需要每个节点都与它进行交互，会产生一些网络通信的成本。TSO 的授时中就需要考虑低延迟，高性能以及更好的容错性。

5.共识协议

5.1 Quorum NWR 模型

Quorum NWR 三要素

• N：在分布式存储系统中，有多少份备份数据

• W：代表一次成功的更新数据操作要求至少有 w 份数据成功写入

• R：代表一次成功的读取数据操作要求至少有 R 份数据成功读取

为了保证强一致性，需要保证 W+R > N

Quorum NWR 模型将 CAP 的选择交给用户，是一种简化版的一致性模型。

思考

• 引起的并发更新问题

  	副本1	副本2	副本3
  初始值(v)	v1=1	v1=1	v1=1
  第一次写	v2=2	v2=2	v1=1
  第二次写	v3=3	v2=2	v2=2

  如果读取副本 1 和副本 2，得出 v=3 的结论

  如果读取副本 2 和副本 3，得吃 v=2 的结论

• 问题的根源：允许数据被覆盖

5.2 RAFT 协议

Raft 协议是一种分布式一致性算法（共识算法），即使出现部分节点故障，网络延时等情况，也不影响各节点，进而提高系统的整体可用性。Raft 是使用较为广泛的分布式协议。从某种角度来看，RAFT 也使用了 Quorum 机制。

• Leader - 领导者，通常一个系统中是一主（Leader）多从（Follower）。Leader 负责处理所有的客户端请求，并向 Follower 同步请求日志，当日志同步到大多数节点上后，通知 Follower 提交日志。
• Follower - 跟随者，不会发生任何请求。接受并持久化 Leader 同步的日志，在 Leader 告知日志可以提交后，再提交日志。当 Leader 出现故障时，主动推荐自己为 Candidate。
• Candidate - 备选者，Leader 选举过程中的临时角色。向其他节点发送请求投票信息。如果获得大多数选票，则晋升为 Leader。
• Log（日志）：节点之间同步的信息，以只追加写的方式进行同步，解决了数据被覆盖的问题。
• Term（任期号）：单调递增，每个 Term 内最多只有一个 Leader。
• Committed：日志被复制到多数派节点，即可认为已经被提交。
• Applied：日志被应用到本地状态机，执行了 log 中的命令，修改了内存状态

Leader 选举过程

1. 初始全部为 Follower
2. Current Term + 1
3. 选举自己
4. 向其它参与者发起 RequestVote 请求，retry 直到遇到以下几种情况
   • 收到多数派请求，成为 Leader，并发送心跳
   • 收到其它 Leader 的请求，转为 Follower，更新自己的 Term
   • 收到部分请求，但未达到多数派，选举超时，随机 timeout 开始下一轮

两个规则

• 在一个任期内每个参与者最多投一票（持久化）
• 要成为 Leader，必须拿到多数投票

Log Replication 过程：新 Leader 产生，Leader 和 Follower 不同步，Leader 强制覆盖 Follower 的不同步的日志

1. Leader 收到写请求 w
2. 将 w 写入本地 log
3. 向其它 Follower 发起 AppendEntries RPC
4. 等待多数派回复
   • 更新本地状态机，返回给客户端
   • 发送下一个心跳通知 Follower 上一个 Log 已经被 Committed
   • Follower 也根据命令应用本地状态机
5. 若 Follwer 有问题，则 Leader 会一直 retry
6. 若 Leader 有问题，则切主

切主：当 Leader 出现问题时，就需要重新选举。

1. Leader 发现失去 Follower 的响应，失去 Leader 身份
2. 两个 Follower 之间一段时间未收到心跳，重新进行选举，选出新的 Leader，此时发生了切主
3. Leader 重启，以 Follower 的身份加入进来

问题：旧 Leader 未失去身份，新 Leader 已经选出，产生了“双主”，如何解决？“双主”的存在带来的主要问题就是 Stale Read，一种读取历史数据版本的机制。

Stale Read

发生 Leader 切换，old leader 收到了读请求。如果直接响应，可能会有 Stale Read。解决方案就是保证读的强一致性。

读操作在 lease timeout 内，默认自己是 leader；不是则发起一次 heartbeat。等待 Commit Index 应用到状态机。

Election timeout > lease timeout：新 leader 上任，自从上次心跳之后一定超过了 Election timeout 的时间，旧 leader 大概率能够发现自己的 Lease 已经过期。

5.3 Paxos 协议

Paxos 算法与 RAFT 算法区别

1. Multi-Paxos 可以并发修改日志，而 Raft 写日志操作必须是连续的
2. Multi-Paxos 可以随机选主，不必要求最新最全的节点当选 Leader

Paxos 的优势：写入并发性能高，所有节点都能写入

Paxos 的劣势：没有一个节点有完整的最新的数据，恢复流程复杂，需要同步历史记录

Paxos 中有三种角色：Proposer（提出者）、Acceptor（决策者）、Learner（决策学习者）

Proposer 与 Acceptor 之间的协作

1. Proposer 获取 Proposal ID n，并向所有 Acceptor 广播
2. Acceptor 接收到信息后进行判断，如果 n > min_proposal 则使 min_proposal := n，并返回 accepted_value 和 Proposal
3. Proposer 接收过半数回复，选择 Proposal 最大的 accepted_value 作为共识
4. 第二阶段，广播 Accept(n, value) 到所有节点
5. Acceptor 接收到信息后再次判断，如果 n > min_proposal 则使 min_proposal := n， accepted_value := value，本地持久化后返回
6. Proposer 接收过半请求，若有结果 > n，更新新的提议，跳转回第 1 步

6.分布式实践

6.1 MapReduce

• Mapper：将输入分解为多个 Job 来并行处理。彼此之间几乎没有依赖关系。
• Shuffler：将 mapper 结果打乱，防止数据倾斜。
• Reducer：对 map 阶段的结果进行全局汇总。

相关资料为什么 MapReduce 再次流行起来了？ - 知乎 (zhihu.com)

6.2 分布式 KV

相关资料小米开源分布式KV存储系统Pegasus - 掘金 (juejin.cn)

总结

分布式概述

• 什么是分布式
• 分布式的必要性
• 常见的分布式系统

系统模型

• 故障模型
• 拜占庭将军问题
• 共识与一致性
• 时间和事件顺序

基础理论

• CAP 理论
• ACID 理论
• BASE 理论

分布式事务

• 二阶段提交
• 三阶段提交
• MVCC

共识协议

• Quorum NWR 算法
• Raft 协议
• Paxos 协议

分布式实践

• MapReduce
• 分布式 KV

参考资料

拜占庭将军问题 (The Byzantine Generals Problem) - 知乎 (zhihu.com)

CAP理论该怎么理解？为什么是三选二？为什么是CP或者AP？面试题有哪些？ - 知乎 (zhihu.com)

看一遍就理解：MVCC原理详解 - 掘金 (juejin.cn)

乐观锁、悲观锁和MVCC，今天让你一次搞懂 - 知乎 (zhihu.com)

Raft 一致性协议完整解析 - 知乎 (zhihu.com)

理解 Paxos 协议——浅谈分布式一致性协议 - 知乎 (zhihu.com)