分布式系统设计(2)
3 副本
3.1 概念
副本(replica/copy)指在分布式系统中为数据或服务提供的冗余。对于数据副本指在不同的节点上持久化同一份数据,当出现某一个节点的存储的数据丢失时,可以从副本上读到数据。数据副本是分布式系统解决数据丢失异常的唯一手段。另一类副本是服务副本,指数个节点提供某种相同的服务,这种服务一般并不依赖于节点的本地存储,其所需数据一般来自其他节点。
3.2 基本副本协议
3.2.1 中心化副本控制协议
中心化副本控制协议的基本思路是由一个中心节点协调副本数据的更新、维护副本之间的一致性。图 2-7 给出了中心化副本协议的通用架构。中心化副本控制协议的优点是协议相对较为简单,所有的副本相关的控制交由中心节点完成。并发控制将由中心节点完成,从而使得一个分布式并发控制问题,简化为一个单机并发控制问题。所谓并发控制,即多个节点同时需要修改副本数据时,需要解决“写写”、“读写”等并发冲突。单机系统上常用加锁等方式进行并发控制。对于分布式并发控制,加锁也是一个常用的方法,但如果没有中心节点统一进行锁管理,就需要完全分布式化的锁系统,会使得协议非常复杂。中心化副本控制协议的缺点是系统的可用性依赖于中心化节点,当中心节点异常或与中心节点通信中断时,系统将失去某些服务(通常至少失去更新服务),所以中心化副本控制协议的缺点正是存在一定的停服务时间。
3.2.2 primary-secondary 协议
在 primary-secondary 类型的协议中,副本被分为两大类,其中有且仅有一个副本作为 primary 副本,除 primary 以外的副本都作为 secondary 副本。维护 primary 副本的节点作为中心节点,中心节点负责维护数据的更新、并发控制、协调副本的一致性。
Primary-secondary 类型的协议一般要解决四大类问题:数据更新流程、数据读取方式、Primary副本的确定和切换、数据同步(reconcile)。
数据更新基本流程
Primary-secondary 协议的数据更新流程
1. 数据更新都由 primary 节点协调完成。
2. 外部节点将更新操作发给 primary 节点
3. primary 节点进行并发控制即确定并发更新操作的先后顺序
4. primary 节点将更新操作发送给 secondary 节点
5. primary 根据 secondary 节点的完成情况决定更新是否成功并将结果返回外部节点
其中第 4 步 primary 节点将更新操作发送到 secondary 节点时,往往发送的也是更新的数据。在工程实践中,如果由 primary 直接同时发送给其他 N 个副本发送数据,则每个secondary 的更新吞吐受限于 primary 总的出口网络带宽,最大为 primary 网络出口带宽的 1/N。为了解决这个问题,有些系统(例如,GFS),使用接力的方式同步数据,即 primary 将更新发送给第一个 secondary 副本,第一个 secondary 副本发送给第二 secondary 副本,依次类推。由于异常,第 4步可能在有些副本上成功,有些副本上失败,在有些副本上超时。不同的副本控制协议对于第 4 步异常的处理都不一样。
数据读取方式
数据读取方式是 primary-secondary 类协议需要解决的第二个问题。与数据更新流程类似,读取方式也与一致性高度相关。如果只需要最终一致性,则读取任何副本都可以满足需求。如果需要会话一致性,则可以为副本设置版本号,每次更新后递增版本号,用户读取副本时验证版本号,从而保证用户读到的数据在会话范围内单调递增。使用 primary-secondary 比较困难的是实现强一致性。
这里简单讨论 primary-secondary 实现强一致性的几种思路。
第一、由于数据的更新流程都是由 primary 控制的,primary 副本上的数据一定是最新的,所以如果始终只读 primary 副本的数据,可以实现强一致性。
第二、由 primary 控制节点 secondary 节点的可用性。当 primary 更新某个 secondary 副本不成功时,primary 将该 secondary 副本标记为不可用,从而用户不再读取该不可用的副本。不可用的secondary 副本可以继续尝试与 primary 同步数据,当与 primary 完成数据同步后,primary 可以副本标记为可用。这种方式使得所有的可用的副本,无论是 primary 还是 secondary 都是可读的,且在一个确定的时间内,某 secondary 副本要么更新到与 primary 一致的最新状态,要么被标记为不可用,从而符合较高的一致性要求。这种方式依赖于一个中心元数据管理系统,用于记录哪些副本可用,哪些副本不可用。某种意义上,该方式通过降低系统的可用性来提高系统的一致性。
第三、基于 Quorum 机制,后面详细说quorum机制。
primary 副本的确定与切换
在 primary-secondary 类型的协议中,另一个核心的问题是如何确定 primary 副本,尤其是在原primary 副本所在机器出现宕机等异常时,需要有某种机制切换 primary 副本,使得某个 secondary副本成为新的 primary 副本。
这边提出两个问题:
第一、如何确定节点的状态以发现原 primary 节点异常
第二、切换 primary后,不能影响副本的一致性。尤其是提供较强一致性服务的系统,切换 primary 的影响更是需要控制。要达到这个目的,一种直观的方式是切换的新 primary 的副本数据必须与原 primary 的副本一致。然而在原 primary 已经发送宕机等异常时,如何确定一个 secondary 副本使得该副本上的数据与原primary 一致又成为新的问题。
数据同步
Primary-secondary 型协议一般都会遇到 secondary 副本与 primary 不一致的问题。此时,不一致的 secondary 副本需要与 primary 进行同步(reconcile)。
通常不一致的形式有三种:一、由于网络分化等异常,secondary 上的数据落后于 primary 上的数据。二、在某些协议下,secondary 上的数据有可能是脏数据,需要被丢弃。所谓脏数据是由于primary 副本没有进行某一更新操作,而 secondary 副本上反而进行的多余的修改操作,从而造成secondary 副本数据错误。三、secondary 是一个新增加的副本,完全没有数据,需要从其他副本上拷贝数据。
对于第一种 secondary 数据落后的情况,常见的同步方式是回放 primary 上的操作日志(通常是redo 日志),从而追上 primary 的更新进度。对于脏数据的情况,较好的做法是设计的分布式协议不产生脏数据。如果协议一定有产生脏数据的可能,则也应该使得产生脏数据的概率降到非常低得情况,从而一旦发生脏数据的情况可以简单的直接丢弃有脏数据的
副本,这样相当于副本没有数据。另外,也可以设计一些基于 undo 日志的方式从而可以删除脏数据。如果 secondary 副本完全没有数据,则常见的做法是直接拷贝 primary 副本的数据,这种方法往往比回放日志追更新进度的方法快很多。但拷贝数据时 primary 副本需要能够继续提供更新服务,这就要求 primary 副本支持快照(snapshot)功能。即对某一刻的副本数据形成快照,然后拷贝快照,拷贝完成后使用回放日志的方式追快照形成后的更新操作。
3.2.3 去中心化副本控制协议
去中心化副本控制是另一类较为复杂的副本控制协议。与中心化副本系统协议最大的不同是,去中心化副本控制协议没有中心节点,协议中所有的节点都是完全对等的,节点之间通过平等协商达到一致。从而去中心化协议没有因为中心化节点异常而带来的停服务等问题。
然而,没有什么事情是完美的,去中心化协议的最大的缺点是协议过程通常比较复杂。尤其当去中心化协议需要实现强一致性时,协议流程变得复杂且不容易理解。由于流程的复杂,去中心化协议的效率或者性能一般也较中心化协议低。一个不恰当的比方就是,中心化副本控制协议类似专制制度,系统效率高但高度依赖于中心节点,一旦中心节点异常,系统受到的影响较大;去中心化副本控制协议类似民主制度,节点集体协商,效率低下,但个别节点的异常不会对系统总体造成太大影响。
3.3 工程中的应用
GFS
GFS 系统的副本控制协议是典型的 Primary-Secondary 型协议,Primary 副本由 Master 指定,Primary 副本决定并发更新操作的顺序。虽然在 GFS 中,更新操作的数据由客户端提交,并在各个副本之间流式的传输,及由上一个副本传递到下一个副本,每个副本都即接受其他副本的更新,也向下更新另一个副本,但是数据的更新过程完全是由 primary 控制的,所以也可以认为数据是由primary 副本同步到 secondary 副本的
Chubby/Zookeeper
Chubby和 Zookeeper 使用了基于 Paxos 的去中心化协议选出 primary 节点,但完成 primary节点的选举后,这两个系统都转为中心化的副本控制协议,即由 primary 节点负责同步更新操作到secondary 节点。