分布式系统
分布式系统的第一性原理
分布式系统的本质问题
分布式系统的本质问题只有一个:
状态、顺序的一致性问题
即:
- 多个节点各自独立运行
- 没有全局时钟
- 通过不可靠网络通信
在这样的环境中,系统如何:
- 判断“当前状态是什么”
- 判断“谁是对的”
- 判断“事情是否已经发生”
为什么必须引入分布式
分布式系统的存在,源于:用户日益增长的高可用、低延迟、海量数据需求 与 单机算力、存储、网络上限之间的矛盾
这一矛盾驱动的必然选择:
- **计算规模扩大**:单机性能与成本不再线性
- **数据规模增长**:状态无法放入单一节点
- **可用性要求提高**:任何单点都不可接受
- **组织协作需求**:系统必须支持并行演进
不可靠世界:分布式系统的基本假设
分布式系统的所有复杂性,来源于一个前提:
我们生活在一个不可靠的世界中。
这一不可靠性体现在三个不可消除的维度。
网络不可靠:通信不确定性
节点之间只能通过消息协作,但网络具备以下特性:
- 消息可能延迟
- 消息可能丢失
- 消息可能重复
- 无法区分“慢”与“死”
因此:
分布式系统中不存在“确定的通信”,只存在“推测”。根本原因是发送方只能通过响应推断对方的状态
超时:主要的判断机制
- 系统无法知道消息是否还会到达
- 只能在等待一段时间后做出判断
- 超时不是精确科学,而是统计选择
超时并不代表失败,而是系统做出的一个假设。
节点不可靠:部分失效成为常态
分布式系统中,失效不是”全有或全无”,而是:
部分节点在部分时间失效(Partial Failure)
常见失效模型:
- **崩溃-中止故障**:节点停止响应
- **崩溃-恢复故障**:节点可能在未知时间后恢复
- **拜占庭故障**:节点行为不可预测
工程实践中通常假设:
非拜占庭故障模型,以换取系统复杂度的可控性。
时间不可靠:不存在全局时间
计算机中的时间具备以下特征:
- 本地时钟会漂移
- 时钟同步存在误差
- 进程可能被任意暂停(STW / 调度)
因此:
时间顺序无法作为分布式系统的可靠依据。
两类时间认知
- **物理时间**:有意义但不可靠(NTP)
- **逻辑时间**:无物理含义但顺序可靠
分布式系统必须优先使用逻辑顺序而非物理时间。
我们能做的唯一事情:假设与多数
在不可靠世界中,分布式系统能依赖的能力极其有限。
多数原则(Quorum)
当一个状态被多数节点认可时,我们将其视为”当前真相”。
- 多数不是正确性的保证
- 而是**系统能达成的最强一致假设**
这是共识算法、选主机制、一致性存储的共同基础。
假设驱动的系统设计
分布式系统并不”知道事实”,而是:
- 基于超时做假设
- 基于多数做裁决
- 基于版本做冲突判断
分布式系统是一个持续修正假设的系统。
一致性模型:对状态一致性的不同承诺
一致性并非非黑即白,而是一条连续谱。
一致性不是目标,而是代价函数
一致性越强:
- 延迟越高
- 可用性越低
- 系统越复杂
常见一致性模型谱系
| 一致性模型 | 本质承诺 | 代价 | 典型场景 |
|---|---|---|---|
| 线性化 | 单一时间线幻觉 | 可用性 | 锁、选主 |
| 顺序一致 | 全局操作顺序 | 延迟 | 日志系统 |
| 因果一致 | 因果关系保序 | 复杂度 | 协作系统 |
| 最终一致 | 状态最终收敛 | 冲突处理 | 大规模存储 |
线性化的本质
线性化的核心目标是:
让系统看起来像只有一个副本。
其实现方式本质是:
- 复制算法
- 共识算法
- 仲裁协议
顺序与逻辑时间
因果关系是唯一可靠的顺序来源
- 如果 B 依赖 A,则 A → B
- 不存在因果关系的事件,其顺序无意义
逻辑时钟
- Lamport 时钟
- 版本号 / 任期号
逻辑时钟解决的不是”什么时候发生”,而是:
谁先于谁发生。
共识:分布式系统的中枢能力
共识的角色
共识解决的是:系统对同一状态是否达成一致判断。
其工程形式通常是:
- 状态机复制
- 主节点选举
- 日志一致提交
全序广播
全序广播的目标是:
- 消息不丢失
- 所有节点看到相同顺序
这是构建一致状态机的基础能力。
工程能力模型:从工具到能力
| 架构能力 | 对抗问题 | 常见手段 |
|---|---|---|
| 扩展性 | 规模增长 | 分片、无共享 |
| 可用性 | 节点失败 | 副本、选主 |
| 稳定性 | 瞬时冲击 | 限流、降级 |
| 一致性 | 状态分歧 | 共识、版本 |
分布式系统的工程哲学
反直觉事实
- 失败是常态,而非异常
- 超时不是失败,而是判断
- 不一致并不等于错误
- 可用性是设计出来的
设计取舍
分布式系统不是"选择正确方案",而是明确你愿意付出的代价。
反模式与误区
核心认知:不确定性不可消除
分布式系统所有反模式都源于一个事实:错误必然发生。
系统的应对方式决定了架构质量,而非避免错误的程度。
三个根本性误解
| 误解 | 真相 |
|---|---|
| 可以消除不确定性 | 只能管理,无法消除 |
| 一致性是可选特性 | 一致性是代价函数,越强代价越大 |
| 存在"正确"算法 | 所有算法都是权衡,无银弹 |
常见反模式
| 反模式 | 核心问题 | 典型后果 |
|---|---|---|
| 分布式单体 | 服务间高耦合 | 改一处动全身 |
| 级联故障 | 故障扩散 | 雪崩 |
| 过度信任超时 | 超时≠失败 | 重复操作、幂等破坏 |
| 一致性模型错配 | 场景与一致性不匹配 | 支付丢数据 / Feed响应慢 |
| 循环依赖 | 调用环 | 局部故障→全链路瘫 |
| 无界重试 | 故障流量无管控 | 下游过载 |
关联内容(自动生成)
- [/软件工程/架构/系统设计/分布式/分布式理论.html](/软件工程/架构/系统设计/分布式/分布式理论.html) 深入探讨了CAP定理、BASE理论等分布式系统的基本理论,与本文的原理驱动设计思想高度相关
- [/软件工程/架构/系统设计/分布式/分布式数据.html](/软件工程/架构/系统设计/分布式/分布式数据.html) 详细分析了分布式数据存储、复制和分区策略,是对分布式系统原理的具体实现
- [/软件工程/架构/系统设计/分布式/分布式一致性系统.html](/软件工程/架构/系统设计/分布式/分布式一致性系统.html) 从制度化管理角度分析分布式一致性,与本文对状态一致性的探讨形成互补
- [/软件工程/架构/系统设计/分布式/分布式一致性与协调机制.html](/软件工程/架构/系统设计/分布式/分布式一致性与协调机制.html) 从协调机制角度深入分析锁、Session、事务等与共识的互补关系
- [/软件工程/架构/系统设计/分布式/分布式共识算法.html](/软件工程/架构/系统设计/分布式/分布式共识算法.html) 详细介绍了Paxos、Raft等共识算法,是实现分布式系统一致性的核心技术
- [/软件工程/架构/系统设计/分布式/分布式事务.html](/软件工程/架构/系统设计/分布式/分布式事务.html) 探讨了分布式事务的实现方案,是分布式系统中保证数据一致性的关键实践
- [/软件工程/架构/系统设计/高并发.html](/软件工程/架构/系统设计/高并发.html) 高并发场景下的一致性权衡与分布式系统设计直接相关
- [/软件工程/架构/系统设计/故障管理.html](/软件工程/架构/系统设计/故障管理.html) 分布式故障处理是节点不可靠性的延伸讨论
- [/软件工程/架构/系统设计/扩展性.html](/软件工程/架构/系统设计/扩展性.html) 扩展性是分布式系统设计的核心目标之一,与本文探讨的分布式系统设计原则密切相关
- [/软件工程/架构/系统设计/可用性.html](/软件工程/架构/系统设计/可用性.html) 可用性是分布式系统设计的重要权衡之一,与CAP定理中的A要素相关
- [/软件工程/架构/架构.html](/软件工程/架构/架构.html) 物理视图中的分布式部署与网络拓扑是分布式系统的架构映射
- [/中间件/数据库/分布式数据库.html](/中间件/数据库/分布式数据库.html) 分布式数据库是分布式系统的重要实现,与本文的理论基础相互印证