可調CAP策略是在原來CAP理論基礎上的延伸和發展,它允許我們隨時重組電腦集群的運行模式,根據不同的業務需求,在CP和AP之間動態調節。 ...
在說可調CAP策略之前,我們要先說說CAP理論。
CAP理論是設計分散式系統必用的黃金法則,它提出了設計分散式系統的三個基本要求:一致性(Consistency)、可用性(Availability)、分區容錯(Partition Tolerance)。具體的要旨是:在分佈環境下,電腦系統最多只能滿足CAP理論中的兩項要求,另外一項要被捨棄。CAP理論經過20年的發展,已經被大量分散式軟體證實和採用,它和經濟學的蒙代爾三角有異曲同工之妙。現在也同樣被Laxcus分散式操作系統接受。
如果通俗地解釋CAP理論,具體的CAP三項要求是:
(一)Consistency 一致性
一致性也稱為原子性或者事務性。表示一個事務的處理不可分割,要麼這個事務完成,要麼這個事務完不成,不能出現完成一半的情況。例如Laxcus分散式操作系統的數據多點寫操作,就不能夠出現一個節點成功一個點失敗的現象。如果出現,系統也將執行回滾操作,擦除已經成功寫入的數據,恢復到初始狀態,通知用戶寫入錯誤。
(二)Availability 可用性
好的可用性是指系統能夠隨時隨地,為大多數人提供服務(穩定可靠的分散式系統能達到99.999%以上),不會同時出現多數人操作失敗、拒絕訪問、訪問超時等不友好現象(非法訪問或者安全原因的限制除外)。可用性和分散式系統的冗餘處理、負載均衡、限載處理能力有很大關係。目前Laxcus分散式操作系統生產環境中,涉及可用性的計算單元,都要求提供一主二從的冗餘備份,即一個主節點,兩個從節點。正常情況下,主節點處理正常的作業流,從節點監視主節點,同時備份主節點的元數據。當主節點發生故障時(機器損壞、網路通信故障),從節點會在秒級時間反應過來,通過協商選出新的主節點,替換掉發生故障的主節點,避免應用業務受到影響涉及。並且這些工作完全是電腦自動完成,不需要管理人員參與。
(三)Partition Tolerance 分區容錯
分區容錯和系統的伸縮性擴展能力緊密相關。在分散式環境中,可能會由於網路通信等原因,導致多機協同工作的系統無法正常運行的現象。合格的分區容錯要求系統雖然處於物理的分散部署和運行狀態,而邏輯看上去卻像是一個正常運轉的整體。比如Laxcus分散式操作系統系統中,即使其中一臺或者幾台電腦宕機,其他剩下的電腦在Laxcus分散式操作系統調度下,也能夠正常運轉滿足業務需求,這樣就具有好的分區容錯性。
以上是CAP的基本情況,理論上CAP三種選項雖然可以三選二自由組合,但是放到現實的分散式應用場景中,如果分區容錯(P)無法保證時(一臺電腦宕機,其它電腦不能提供服務或者只能提供部分服務),分散式系統也就失去存在的意義,所以分區容錯屬於分散式系統的必備選項,需要得到絕對保證。這樣,用戶在設計分散式系統時,實際上只能在選項CP和AP之間進行選擇。比如WEB業務強調高併發能力,要求隨時隨地的高可用性,允許一定額度的錯誤,這時就可以放寬對一致性的限制。而線上支付系統因為必須保證最終數據的正確性,所以對數據一致性有極高要求。
CAP理論發展到近些年,情況又開始變化,隨著市場和用戶需求的調整,大家對CAP理論有了新的要求。具體到分散式系統,就是現在的用戶越來越希望能夠在一套系統里,同時滿足高併發和高可靠性兩種需求,也就是說,要求一套分散式系統同時具備CP和AP兩種能力。
這給基礎軟體開發者提出了新的課題。
Laxcus分散式操作系統對此的解決方案是可調CAP策略。
可調CAP策略是在原來CAP理論基礎上的延伸和發展,它允許我們在使用Laxcus分散式操作系統過程中,隨時重組電腦集群的運行模式,能夠根據不同的業務需求,以CP和AP之間動態調節。
如果用戶不做任何設置,Laxcus分散式操作系統預設是AP策略,即電腦集群服務於高可用性場景。例如用戶在處理分散式計算工作時,當電腦集群同時執行多項分散式計算工作,某項工作的故障和失敗不影響其它應用業務的正常運行。
同時,當面對分散式存儲工作時,Laxcus分散式操作系統預設是CP策略,即保證同質數據的分佈一致性,也就是滿足事務性操作要求。這時任何一點數據的寫操作失敗都會導致數據整體回滾,從而滿足同質數據的分佈一致性要求。
在Laxcus分散式操作系統里,將處理業務切換到CP狀態使用Create Limit 命令。見下圖,這個命令有三種處理模型:用戶、資料庫、數據表。如果用戶使用Create Limit命令執行用戶模式處理且被系統接受後,那麼表示除數據處理工作之外,用戶的其它業務,都執行CP策略(一致性處理)。
Create Limit命令
執行Create Limit命令
Create Limit命令生效後,與Create Limit命令配合的是Create Fault命令。如果在CP狀態發生了不一致故障,相關業務將被系統鎖定,用戶即使有後續的請求工作,系統也不會接受,直到用戶使用“Drop Fault”命令手工解除故障,相關的業務才能恢復工作。
與Create Limit命令配合使用的Create Fault命令
與Create Limit命令對應的反向操作是Drop Limit命令,它解除之前Create Limit命令執行的限制,將業務處理恢復到系統的預設狀態。比如對用戶業務執行了“Create Limit”命令後,想恢復到AP狀態(高可用性),那麼就使用“Drop Limit”命令重置。
Drop Limit命令是Create Limit命令的反向操作
對於數據處理工作,正常情況下,我們還是應該保持為CP狀態,畢竟一致性是數據處理重要的基礎功能。
但是特殊情況總是存在,為此,Laxcus分散式操作系統也為用戶提供了多種可能選擇。比如我們為了滿足高併發需要,有時會將資料庫或者數據表切換到AP狀態,然後出現數據不一致性現象,這時為了將電腦集群的分佈數據恢復到一致狀態,我們可以使用“”命令來完成。這個命令將掃描電腦集群上的所有相關數據,將數據調整到一致狀態。掃描和重組數據過程中,相關的資源會被系統鎖定,直到完成後才解鎖,所以處理過程中不會出現“多寫”現象,也就是杜絕了不一致的現象發生。
檢查分佈數據的一致性
將分佈數據恢復到一致性狀態
以上是可調CAP策略的大致情況。Laxcus分散式操作系統把複雜的CAP理論、可調CAP策略,以及相關的大量基礎功能和處理流程,簡化成幾個命令來實現。讓用戶面對不同業務需求時,通過簡單地切換系統運行模式,有更多選擇符合更多應用場景的需要。
說明:Laxcus是一個開源、容錯、高擴展、多人共用、多機協同分佈運行的操作系統,通過分散式應用軟體,處理大規模、超大規模的存儲和計算工作。企業版本支持百萬級節點規模的電腦集群、億級用戶線上。
