数据一致性
当我们从传统的关系型数据库转向分布式NoSQL数据库时,最大的思维转变就是如何理解数据一致性。 关系型数据库通过强一致性来避免各种数据不一致的问题,但在NoSQL世界中,我们会遇到「CAP定理」和「最终一致性」这样的概念。一旦开始构建分布式系统,我们就必须思考系统需要什么样的一致性保证。
更新一致性
让我们从一个具体的场景开始理解。假设小明和小红都在更新公司网站上的客服电话号码,他们发现原来的号码已经过期了。恰好两人都有更新权限,于是同时进行修改。为了让例子更有趣,我们假设他们使用了稍微不同的格式来输入新号码。这种情况被称为「写-写冲突」,即两个人同时更新同一个数据项。
当这些写入请求到达服务器时,服务器必须将它们序列化——决定先应用哪一个,再应用另一个。假设服务器按字母顺序选择,先处理小明的更新,再处理小红的。如果没有任何并发控制机制,小明的更新会被应用,然后立即被小红的更新覆盖。在这种情况下,小明的更新就「丢失」了。我们将此视为一致性失败,因为小红的更新基于小明更新之前的状态,却在小明更新之后被应用。
悲观与乐观方法
处理并发一致性的方法通常分为悲观和乐观两种。悲观方法通过防止冲突发生来工作,而乐观方法允许冲突发生,但会检测并处理这些冲突。
对于更新冲突,最常见的悲观方法是使用写锁。要修改一个值,需要先获取锁,系统确保同一时间只有一个客户端能获得锁。在我们的例子中,小明和小红都会尝试获取写锁,但只有小明(首先到达的)会成功。小红需要等到看到小明的写入结果后,再决定是否进行自己的更新。
常见的乐观方法是条件更新,任何进行更新的客户端都会在更新前测试值是否自上次读取以来发生了变化。在这种情况下,小明的更新会成功,但小红的会失败。错误会让小红知道她应该重新查看值,然后决定是否尝试进一步更新。
我们刚才描述的悲观和乐观方法都依赖于更新的一致序列化。在单服务器环境下这很明显——它必须选择一个,然后另一个。但如果有多个服务器,比如点对点复制,两个节点可能以不同的顺序应用更新,导致每个节点上的电话号码值不同。
序列一致性
当人们讨论分布式系统中的并发时,他们经常谈论序列一致性——确保所有节点以相同的顺序应用操作。这在单机系统中很自然,但在分布式环境中变得复杂。
另一种乐观处理写-写冲突的方法是保存两个更新并记录它们处于冲突状态。这种方法对许多程序员来说很熟悉,从版本控制系统中就能看到,特别是分布式版本控制系统,它们本质上经常会有冲突的提交。 下一步同样遵循版本控制的思路:你必须以某种方式合并这两个更新。也许你向用户显示两个值并要求他们解决——这就是当你在手机和电脑上更新同一个联系人时会发生的情况。
刚开始遇到这些一致性和并发问题时,大家通常会下意识选择更“稳妥”的悲观并发策略,希望能彻底避免冲突。当然,这也是不少场景下合理的选择,但没有完美的方案,总要有所权衡。本质上,并发处理总是在安全性(比如防止数据冲突)和活性(比如让系统反应更快)之间寻找平衡。 悲观方法虽然保险,但常常会把系统响应速度拉低,让你觉得“慢吞吞”,甚至可能导致死锁,让人头疼且难以排查。
一旦引入数据复制,写-写冲突变得更加常见。因为每个节点都可以独立修改各自的数据副本,不去特别处理的话,冲突就很难避免。这时,我们常会让某类数据只通过一个节点来写入,这样维护更新一致性就简单得多。前面提到的各种分布式模型,除了点对点复制外,基本上都靠这个方式来保持一致性。
读一致性
拥有维护更新一致性的数据存储是一回事,但这并不能保证该数据存储的读取者总是得到一致的响应。让我们设想一个网购订单的场景,订单包含商品明细和运费。运费是根据订单中的商品明细计算的。如果我们添加一个商品,我们需要重新计算并更新运费。
在关系型数据库中,运费和商品明细通常在不同的表中。不一致的危险在于:小李向他的订单添加了一个商品明细,然后小王读取了商品明细和运费,接着小李更新了运费。这是一个不一致的读取或「读-写冲突」:小王在小李的写入过程中间进行了读取。
我们将这种类型的一致性称为逻辑一致性:确保不同的数据项在逻辑上是合理的。为了避免逻辑不一致的读-写冲突,关系型数据库支持事务的概念。 只要小李将他的两次写入包装在一个事务中,系统就会保证小王要么在更新前读取两个数据项,要么在更新后读取两个数据项。
NoSQL数据库与事务
很多人都听说过“NoSQL数据库没有事务,所以不能保证一致性”这样的说法,其实这并不完全准确,里面还有不少细节需要澄清。
首先,这种说法主要是针对某些NoSQL数据库,尤其是面向聚合的数据库。而比如图数据库,其实和关系型数据库一样,通常也都支持ACID事务。
再说回面向聚合的数据库,大多数时候它们确实支持原子操作,但只针对单个聚合。也就是说,在一个聚合内部你可以保证逻辑一致性,但跨聚合就做不到了。还是拿我们前面举的例子来说,如果订单、运费、商品明细都属于同一个订单聚合,相关操作自然不会有一致性问题。
但理想情况毕竟有限,不可能所有数据都塞进一个聚合里。一旦你的更新同时涉及多个聚合,就会出现客户端读到不一致数据的时间窗口,这段时间我们通常叫做“不一致性窗口”。
复制一致性
一旦引入了副本,新的不一致问题也随之而来。还是拿订酒店的例子来说,假设有一个超火的活动,只剩下最后一间房。我们的预订系统在全国各地都有节点,小明在北京,小红在上海,两人正在电话里讨论要不要下单。这时候,广州的小王已经抢先一步预订了这间房。虽然房间的状态通过系统开始同步,但这条更新消息先传到了上海节点,再到北京。
于是,小红在上海刷新页面时,看到房间已经被其他人预订走了。但小明在北京刷新,却还看到房间显示为可订。这其实是另一种「读到不一样数据」的情况——它其实违背了所谓的复制一致性:大意就是,不管你从哪个副本查询,应该都读到一样的数据。
最终,数据的更新会慢慢同步到所有节点,小明迟早也会看到房间已被订出。这就是「最终一致性」的意思:在同步过程中,节点之间的数据有可能暂时不一样,但只要没有新的更新发生,最后大家看到的数据一定是一致的。顺便说一句,这里所谓的「陈旧」数据,其实和缓存很像——本质上都是主从复制,只是延迟同步而已。
读你所写的一致性
这种同步延迟带来的「不一致窗口」就是:有时候不同的人在同一时刻看到不一样的内容。比如小明和小红正通着电话,要是同时刷新房间预订状态,就可能出现一个人看到已订,一个人看到还未被订,着实有点混乱。一般我们自己用网站的时候,独立操作还好,不容易碰到问题。但如果自己和自己看到不一致,体验就特别怪。
举个例子,比如在博客下留言。有人刚发表了自己的评论,刷新页面却发现评论不见了,这是因为刚好被分到另一个节点,这个节点还没接收到新评论。其实,这类场景容忍几分钟的短暂不一致问题也没什么关系。大多数网站背后有一个集群,请求随机分配到不同的节点。这时就有一个风险:你用A节点发了评论,刷新跳到B节点,如果B节点还没同步你的评论,看起来就像评论丢失了。
在这种情况下,我们希望做到「读你所写」:你刚写的内容,自己后续一定看得见。对于最终一致性的系统,实现这种体验有个常用办法叫“会话一致性”,只要是在同一个用户会话里,你都能读到自己的更新。
会话一致性可以有多种实现方法。最常见、也最直接的,就是“粘性会话”——让同一个用户的请求都打到同一个节点上(也叫会话绑定)。只要节点本地是自洽的,那用户就总能看到自己刚写入的数据。只是,粘性会话有个缺点:不利于均衡集群的负载。
还有一种做法是用“版本戳”:每次请求都带上会话里最新看到的数据版本,服务端收到请求后,必须先确认自己已经同步到这个版本,再返回数据。这样不同节点也能保证用户自己看到的数据是最新的。
放宽一致性要求
说到底,一致性当然是件好事,不过有时候我们不得不有所牺牲。想让系统绝对没有不一致,理论上可以,但在现实中,通常得付出性能、复杂度等很大的代价,很多时候根本不划算。所以我们总是在一致性和其他特性之间做权衡。这并不是灾难性的妥协,而是系统设计里很自然的选择。 不同业务对于“不一致”的容忍程度也不一样,这得根据实际场景来判断。
比如在数据库领域,事务大家都很熟悉。事务可以给你强一致性保障,但也可以调整隔离级别,允许查询到还没提交的数据。实际工程里,为了性能,很多应用不会开最高级别的隔离(如串行化),而是用“读已提交”隔离,这样能避免部分但不是全部的读写冲突。
有些系统甚至选择完全不用事务,因为事务性能消耗太大。比如早期MySQL流行的时候,大家图的就是快,即使没有事务也能接受。再比如淘宝这样的大型电商,数据量太大,做分片时不得不放弃全局事务,否则真跑不起来。
现实世界的案例
让我们看看一些实际的业务场景,了解为什么放宽一致性要求是合理的。 考虑一个社交媒体平台的点赞功能。如果两个用户几乎同时点赞同一条动态,系统可能会出现短暂的不一致——一个节点显示1000个赞,另一个节点显示1001个赞。 对于这种应用,用户完全可以容忍这种小的延迟,因为点赞数的精确性不会影响业务核心功能,几秒钟后数据会自动同步,而且用户更关心系统的响应速度而不是点赞数的实时准确性。
相比之下,考虑银行转账系统。如果小明向小红转账1000元,这种操作绝对不能容忍不一致性。银行系统必须确保小明的账户准确扣除1000元,小红的账户准确增加1000元,不会出现钱凭空消失或凭空产生的情况。 在这种情况下,系统宁愿牺牲一些性能来保证强一致性。
不同的数据类型需要不同级别的一致性保证。社交互动数据可以容忍短暂的不一致,而财务数据则需要严格的一致性。这种理解帮助我们为不同的业务场景选择合适的数据库解决方案。
购物车常常被用来举例说明“不一致写入”的情况,但我们也可以用一个中国互联网电商的例子来理解。比如在“双十一”大促期间,淘宝或京东的购物车系统可能会因为网络问题导致你同步到多个数据中心,这时可能会临时出现你有两个购物车的现象。 但没关系,最终在你结算时,系统会把不同节点上的商品合并展示给你,你可以自己确认最终买哪些。这种合并,大多数时候对用户来说是无感的,如果真的发生了冲突,也会在下单前给你清晰地回显和选择。
这样设计的核心思想,就是让用户随时都能加购商品、保证使用流畅,不会因系统同步缓慢而“卡住”体验。对于电商平台来说,这种高可用和流畅性比强一致更关键,毕竟大家都不希望错失抢购的时机。
CAP定理
在聊到NoSQL和分布式系统时,CAP定理总是绕不开的一个话题。简单说,这个定理最早是Eric Brewer在2000年提出来的,后来Seth Gilbert和Nancy Lynch做了正式的论证(有时候你也会听到大家把它叫做Brewer猜想)。
CAP定理讲的其实很直白:在分布式系统里,一致性、可用性、分区容错性这三个,只能取其二。这里“一致性”是我们之前反复谈的那个意思;“可用性”在这个定理里的定义有点特殊——意思是,只要集群里某个节点能正常通信,那么读写请求一定有响应,不是说服务一定高可用;“分区容错性”说的是,哪怕集群因为网络故障分成几个部分(业内叫“脑裂”),系统也不能彻底挂掉。
当然,具体怎么定义这三点,不同人可能会有不同理解,所以围绕CAP定理的讨论其实还挺多的。但只要把握住它的大意就够了:分布式场景下,总得做取舍,鱼和熊掌不能兼得。
单机系统就是典型的CA系统——也就是说,它既有一致性,也有可用性,但没有分区容错性。因为你只有一台机器,根本不存在“分区”这回事,也无需考虑容不容错。只要这台服务器没宕机,它就是可用的,而且所有数据自然都是一致的。这种模式其实就是绝大多数传统关系型数据库惯常的工作方式。
那有没有CA集群呢?理论上可以,比如有多个节点组成的系统,但只要一发生分区,所有节点就会“停工”,任何客户端都连不上。这其实和通常常说的“可用”概念有些区别——CAP定理里对“可用性”的定义跟工程师日常的理解不是完全一回事,这点经常让人困惑。
实际场景下怎么取舍
所以其实只要是分布式系统,迟早会遇到网络分区。CAP定理真正想表达的重点是——一旦有可能分区,你就必须在一致性和可用性之间找到一个平衡点。不是说只能选两项、完全放弃另一项;实际开发中,我们常常是牺牲一点点一致性,换一些可用性,或者反过来。系统不是“全有”或“全无”的极端,而是可以围绕你的需求做一些调和。
举个更直观的例子:假如小明和小红都抢着预订一场热门会议的最后一个酒店房间。假设系统分为两个节点,北京服务小明,深圳服务小红。如果我们要求“一致性第一”,那就会要求小明预订前,北京节点必须和深圳节点确认。简单说,两个节点必须同步好请求,谁先来谁成功。这保证了一致性,但只要网络一断,北京深圳就都无法操作预订,等于大家都抢不上,这种情况下牺牲的就是可用性。
其实,要提升可用性,有一个普遍的做法是为特定酒店指定一个“主节点”,所有相关的预订操作都通过这个节点来处理。比如说,假如深圳是主节点,那断网时深圳还能继续处理该酒店预订,小红还能顺利订到最后一间房。 如果采用主从复制,北京这边的用户可能看到的房间数据会跟深圳不同步,信息上是有点滞后,但他们也不能直接在北京下单,所以实际上并不会引发更新冲突。对于这个场景来说,这种“小冲突”往往是可以接受的。
这种方案确实缓解了前面说的矛盾,但还有局限:一旦节点间的连接断了,如果主节点正好在深圳,北京那边的小明即使能用北京节点,也没法预订深圳酒店的房间。 站在CAP定理的角度,这其实就是可用性不足——因为用户能连上北京节点,但这个节点无法把操作同步出去。要是我们想进一步提高可用性,也就是让小明和小红各自在自己的节点上都能预订最后一间房,这样断网时预订还能成功,但带来的隐患就是可能会出现两个人抢了一间房的状况。
业务场景的实际处理
但很多时候,这未必是灾难。现实中,旅游公司常会接受一定比例的超售,反正总有部分客户最后不来。而有些酒店自己也常年预留几间房,留作调剂,比如有客房出问题、临时安排VIP等。 所以偶尔超额了,顶多过后打个电话跟客户道歉、补偿点东西,这点损失和丢掉预订机会比起来,其实容易接受。
虽然大部分程序员会觉得“不一致”是必须绝对避免的,实际上有些业务场景完全可以接受不一致带来的麻烦——关键在于你要真的理解行业痛点和容忍度。 这种平衡往往不能只靠开发自己拍脑袋定,要和实际业务方多沟通,听懂他们的真正要求和底线在哪里。
CAP定理常常被大家拿来谈一致性和可用性的取舍,但实际上,真正实用的思路,是在一致性和响应速度(延迟)之间做平衡。比如,想让系统更一致,常常意味着要有更多节点参与“投票”,网络交互变多,响应速度自然会下降。 相反,一旦系统出现延迟超标,我们宁可判定这次操作失败,不给出结果,这也可以理解为“可用性”的一种边界。因此,在实际设计系统时,咱们不妨把“可用”理解成:在能接受的响应时间内能拿到靠谱答案。
放宽持久性要求
前面我们聊了一致性,这也是大家谈ACID事务时比较关心的部分。多数人一听到“放宽持久性”,本能反应是:这会不会太儿戏了?如果数据连丢都能丢,那还要数据库干什么呢?
但其实在某些情况下,“牺牲一点持久性”能换来更高的性能。比如,有些数据库主要靠内存运行,把更新先写进内存,定期再同步到磁盘。这样一来,响应速度马上就上去了,代价是如果服务器突然宕机,最后那一小段时间的数据可能会丢。
最典型的,就是用户会话状态。比如大型网站,每个用户的登录状态、临时数据都保存在服务端。会话数据写得频繁,但丢了其实也没啥大不了的——顶多就是让用户重新登录,比整站卡顿更让人能接受。 所以,这类应用其实很适合用非持久化的写入。更重要的更新需求,可以要求强制同步到磁盘,把持久性做成个“开关”即可。
复制下的持久性
复制环境下也有类似问题。比如你有主从复制,写操作在主节点提交了,但还没同步到从节点,这时主节点就宕机了——那没有同步过去的数据其实也就丢了。如果这时候从节点被选择为主节点,那么这些未同步的写入就彻底丢失了。如果旧主节点又恢复上线,还可能和现在的数据产生冲突。
这个问题其实挺常见。如果你确信主节点很快就能修好恢复,也许可以不急着切换主从。要是对数据更在意,就可以设置成只有主节点收到足够多的从节点确认后才算写入成功,这样能提高持久性(但写入速度会变慢,遇到从节点故障也更容易不可用)。 持久性和性能,一样得权衡——而且更灵活的做法是“写入时指定”,有的写入可以快、有的必须等确认。
法定人数(Quorum)
说到一致性和持久性的折中,其实不是非黑即白、要么全有要么全无。你实际参与确认的节点越多,数据不一致的概率就越低。那么到底“要多少节点参与”才能稳妥?这就需要“法定人数”机制了。
打个比方:你有三份副本,并不是非得所有副本全都写入成功才叫“成功”,多数就够。比如只要有2个节点确认写入(W=2),就能保证有冲突也只能有一方赢。这种“多于一半节点”确认的机制,用个简单公式就是 W > N/2(W是参与写操作的节点数,N是副本总数,也叫复制因子)。
读法定人数
和写法定人数类似,分布式系统里也有“读法定人数”这个说法,意思就是你需要从多少个节点读取,才能比较有信心拿到最新的数据。其实可不止这么简单,因为读法定人数和写法定人数还要相互配合起来才有用。
我们举个常见的例子:复制因子为3。如果每次写操作都要求2个节点确认(W = 2),那这时你只要从2个节点里读数据(R = 2),基本能保证拿到最新的写入。可如果写操作只要求1个节点确认(W = 1),那就得把3个节点都读一遍(R = 3)才能覆盖所有可能的“写”,这样才能保证读出来的是最全的。
用个公式描述就是:R + W > N。这里R是你读取节点的数量,W是写入时确认的节点数,N是复制因子。只要这个不等式成立,你就能读到强一致的数据。
实际应用中的法定人数
其实很多时候,这些理论都是点对点架构下才完全适用,要是你是主从模型就简单多了。写入只需要丢给主节点,读也是只看主节点就行,避免了很多麻烦。当然,这些术语有时候会被搞混,比如节点数和复制因子,有的集群一百多个节点,但复制因子只有3,其实只有3份数据,多出来的是分片不是复制。
现实里,大家一般都推荐复制因子设置为3,因为这样容错和恢复都比较平衡。挂掉一个节点还能正常工作,集群修复第三份副本通常也很快,掉两个的概率毕竟很小。
灵活用法是,读写法定人数都可以根据需求动态调节。比如有的写操作追求一致性,可以要求更高的写法定人数,而对于没那么敏感的,可以要求少一点。读操作也是类似——如果能接受读到旧数据,可以只问一个节点,否则联系多个节点就更稳一些。
法定人数其实提供了不同一致性和性能之间的灵活选择权。想要读得快又强一致?那就把所有写操作都要求所有节点确认(N = 3,W = 3),这样一来你读的时候随便找一个节点(R = 1)都没问题。这种模式下写入会变慢,因为每次都要等3个节点,但有时候这种强一致就值得这么做,全看你的具体需求。
小结
本部分我们系统学习了分布式数据库中一致性的权衡。从强一致性的传统关系型数据库,到NoSQL灵活多样的一致性选项,分布式系统面临写-写冲突、读-写冲突、节点间复制延迟等一系列现实挑战。 应对策略包括悲观(加锁避免冲突)、乐观(检测和修正冲突)两类方法,而最终一致性、会话一致性等机制,则通过延迟与可容忍性权衡改善用户体验。
同时,复制机制下的一致性与持久性同样需要精细调整。通过法定人数机制(如R + W > N),我们可以灵活调整参与读写的节点数,在数据一致性、可用性和性能之间找到合适的平衡。 实际场景下,一致性的追求无需一刀切——例如社交点赞这样对一致性要求不高,但资金转账则必须做到严格保障。