众所周知,数据库能实现本地事务,也就是在同一个数据库中,你可以允许一组操作要么全都正确执行,要么全都不执行。这里特别强调了本地事务,也就是目前的数据库只能支持同一个数据库中的事务。但现在的系统往往采用微服务架构,业务系统拥有独立的数据库,因此就出现了跨多个数据库的事务需求,这种事务即为“分布式事务”。那么在目前数据库不支持跨库事务的情况下,我们应该如何实现分布式事务呢?本文首先会为大家梳理分布式事务的基本概念和理论基础,然后介绍几种目前常用的分布式事务解决方案。废话不多说,那就开始吧~
事务由一组操作构成,我们希望这组操作能够全部正确执行,如果这一组操作中的任意一个步骤发生错误,那么就需要回滚之前已经完成的操作。也就是同一个事务中的所有操作,要么全都正确执行,要么全都不要执行。
说到事务,就不得不提一下事务著名的四大特性。
注意:事务只能保证数据库的高可靠性,即数据库本身发生问题后,事务提交后的数据仍然能恢复;而如果不是数据库本身的故障,如硬盘损坏了,那么事务提交的数据可能就丢失了。这属于『高可用性』的范畴。因此,事务只能保证数据库的『高可靠性』,而『高可用性』需要整个系统共同配合实现。
这里扩展一下,对事务的隔离性做一个详细的解释。
在事务的四大特性 ACID 中,要求的隔离性是一种严格意义上的隔离,也就是多个事务是串行执行的,彼此之间不会受到任何干扰。这确实能够完全保证数据的安全性,但在实际业务系统中,这种方式性能不高。因此,数据库定义了四种隔离级别,隔离级别和数据库的性能是呈反比的,隔离级别越低,数据库性能越高,而隔离级别越高,数据库性能越差。
我们先来看一下在不同的隔离级别下,数据库可能会出现的问题:
不可重复读与脏读有什么区别?脏读读到的是尚未提交的数据,而不可重复读读到的是已经提交的数据,只不过在两次读的过程中数据被另一个事务改过了。
数据库一共有如下四种隔离级别:
Read Uncommitted
:读未提交,在该级别下,一个事务对一行数据修改的过程中,不允许另一个事务对该行数据进行修改,但允许另一个事务对该行数据读。因此本级别下,不会出现更新丢失,但会出现脏读、不可重复读。Read Committed
:读提交,在该级别下,未提交的写事务不允许其他事务访问该行,因此不会出现脏读;但是读取数据的事务允许其他事务的访问该行数据,因此会出现不可重复读的情况。Repeatable Read
:重复读,在该级别下,读事务禁止写事务,但允许读事务,因此不会出现同一事务两次读到不同的数据的情况(不可重复读),且写事务禁止其他一切事务。Serializable
:序列化,该级别要求所有事务都必须串行执行,因此能避免一切因并发引起的问题,但效率很低。隔离级别越高,越能保证数据的完整性和一致性,但是对并发性能的影响也越大。对于多数应用程序,可以优先考虑把数据库系统的隔离级别设为Read Committed
。它能够避免脏读取,而且具有较好的并发性能。尽管它会导致不可重复读、幻读和第二类丢失更新这些并发问题,在可能出现这类问题的个别场合,可以由应用程序采用悲观锁或乐观锁来控制。
到此为止,所介绍的事务都是基于单数据库的本地事务,目前的数据库仅支持单库事务,并不支持跨库事务。而随着微服务架构的普及,一个大型业务系统往往由若干个子系统构成,这些子系统又拥有各自独立的数据库。往往一个业务流程需要由多个子系统共同完成,而且这些操作可能需要在一个事务中完成。在微服务系统中,这些业务场景是普遍存在的。此时,我们就需要在数据库之上通过某种手段,实现支持跨数据库的事务支持,这也就是大家常说的“分布式事务”。
这里举一个分布式事务的典型例子——用户下单过程。当我们的系统采用了微服务架构后,一个电商系统往往被拆分成如下几个子系统:商品系统、订单系统、支付系统、积分系统等。整个下单的过程如下:
上述步骤 2、3、4 需要在一个事务中完成。对于传统单体应用而言,实现事务非常简单,只需将这三个步骤放在一个方法A中,再用 Spring 的@Transactional
注解标识该方法即可。Spring 通过数据库的事务支持,保证这些步骤要么全都执行完成,要么全都不执行。但在这个微服务架构中,这三个步骤涉及三个系统,涉及三个数据库,此时我们必须在数据库和应用系统之间,通过某项黑科技,实现分布式事务的支持。
CAP 理论说的是:在一个分布式系统中,最多只能满足 C、A、P 中的两个需求。CAP 的含义:
Consistency
,表示一致性,同一数据的多个副本是否实时相同。Availability
,表示可用性,一定时间内系统返回一个明确的结果,则称为该系统可用。Partition tolerance
,表示分区容错性,将同一服务分布在多个系统中,从而保证某一个系统宕机,仍然有其他系统提供相同的服务。CAP 理论告诉我们,在分布式系统中,C、A、P 三个条件中我们最多只能选择两个。那么问题来了,究竟选择哪两个条件较为合适呢?
对于一个业务系统来说,可用性和分区容错性是必须要满足的两个条件,并且这两者是相辅相成的。业务系统之所以使用分布式系统,主要原因有两个:
这说明分区容错性是分布式系统的根本,如果分区容错性不能满足,那使用分布式系统将失去意义。
此外,可用性对业务系统也尤为重要。在大谈用户体验的今天,如果业务系统时常出现“系统异常”、响应时间过长等情况,这使得用户对系统的好感度大打折扣,在互联网行业竞争激烈的今天,相同领域的竞争者不甚枚举,系统的间歇性不可用会立马导致用户流向竞争对手。因此,我们只能通过牺牲一致性来换取系统的可用性和分区容错性。这也就是下面要介绍的BASE理论。
CAP 理论告诉我们一个悲惨但不得不接受的事实——我们只能在 C、A、P 中选择两个条件。而对于业务系统而言,我们往往选择牺牲一致性来换取系统的可用性和分区容错性。不过这里要指出的是,所谓的“牺牲一致性”并不是完全放弃数据一致性,而是牺牲强一致性换取弱一致性。下面来介绍下 BASE 理论。
Basic Available
,基本可用
Soft State
,柔性状态,同一数据的不同副本的状态,可以不需要实时一致。Eventual Consisstency
,最终一致性,同一数据的不同副本的状态,可以不需要实时一致,但一定要保证经过一定时间后仍然是一致的。ACID 能够保证事务的强一致性,即数据是实时一致的。这在本地事务中是没有问题的,在分布式事务中,强一致性会极大影响分布式系统的性能,因此分布式系统中遵循 BASE 理论即可。但分布式系统的不同业务场景对一致性的要求也不同。如交易场景下,就要求强一致性,此时就需要遵循 ACID 理论,而在注册成功后发送短信验证码等场景下,并不需要实时一致,因此遵循 BASE 理论即可。因此要根据具体业务场景,在 ACID 和 BASE 之间寻求平衡。
下面介绍几种实现分布式事务的协议。
分布式系统的一个难点是如何保证架构下多个节点在进行事务性操作的时候保持一致性。为实现这个目的,二阶段提交算法的成立基于以下假设:
Coordinator
),其他节点作为参与者(Cohorts
),且节点之间可以进行网络通信。vote
),并开始等待各参与者节点的响应。当协调者节点从所有参与者节点获得的相应消息都为"同意"时:
commit
)”的请求。如果任一参与者节点在第一阶段返回的响应消息为“中止”,或者 协调者节点在第一阶段的询问超时之前无法获取所有参与者节点的响应消息时:
rollback
)”的请求。不管最后结果如何,第二阶段都会结束当前事务。二阶段提交看起来确实能够提供原子性的操作,但是不幸的事,二阶段提交还是有几个缺点的:
commit
消息之后宕机,而唯一接收到这条消息的参与者同时也宕机了。那么即使协调者通过选举协议产生了新的协调者,这条事务的状态也是不确定的,没人知道事务是否被已经提交。为此,Dale Skeen 和 Michael Stonebraker 在“A Formal Model of Crash Recovery in a Distributed System”中提出了(3PC)三阶段提交协议。
与两阶段提交不同的是,三阶段提交有两个改动点:
也就是说,除了引入超时机制之外,3PC 把 2PC 的准备阶段再次一分为二,这样三阶段提交就有 CanCommit、PreCommit、DoCommit 三个阶段。
3PC 的 CanCommit 阶段其实和 2PC 的准备阶段很像。协调者向参与者发送commit
请求,参与者如果可以提交就返回 Yes 响应,否则返回 No 响应。
协调者根据参与者的反应情况来决定是否可以记性事务的 PreCommit 操作。根据响应情况,有以下两种可能。假如协调者从所有的参与者获得的反馈都是 Yes 响应,那么就会执行事务的预执行。
假如有任何一个参与者向协调者发送了 No 响应,或者等待超时之后,协调者都没有接到参与者的响应,那么就执行事务的中断。
abort
请求。abort
请求之后(或超时之后,仍未收到协调者的请求),执行事务的中断。该阶段进行真正的事务提交,也可以分为以下两种情况。
协调者没有接收到参与者发送的 ACK 响应(可能是接受者发送的不是 ACK 响应,也可能响应超时),那么就会执行中断事务。
abort
请求abort
请求之后,利用其在阶段二记录的 Undo 信息来执行事务的回滚操作,并在完成回滚之后释放所有的事务资源。分布式事务的解决方案有如下几种:
全局事务基于 DTP 模型实现。DTP 是由 X/Open 组织提出的一种分布式事务模型 —— X/Open Distributed Transaction Processing Reference Model。它规定了要实现分布式事务,需要三种角色:
Application
应用系统
Transaction Manager
事务管理器
Resource Manager
资源管理器
这种实现分布式事务的方式需要通过消息中间件来实现。假设有 A 和 B 两个系统,分别可以处理任务 A 和任务 B。此时系统 A 中存在一个业务流程,需要将任务 A 和任务 B 在同一个事务中处理。下面来介绍基于消息中间件来实现这种分布式事务。
commit
请求。该请求发送完成后,对系统 A 而言,该事务的处理过程就结束了,此时它可以处理别的任务了。但commit
消息可能会在传输途中丢失,从而消息中间件并不会向系统 B 投递这条消息,从而系统就会出现不一致性。这个问题由消息中间件的事务回查机制完成,下文会介绍。commit
指令后,便向系统 B 投递该消息,从而触发任务 B 的执行;上述过程可以得出如下几个结论:
上述过程中,如果任务 A 处理失败,那么需要进入回滚流程,如下图所示:
Rollback
请求。和发送Commit
请求一样,系统 A 发完之后便可以认为回滚已经完成,它便可以去做其他的事情。此时系统又处于一致性状态,因为任务 A 和任务 B 都没有执行。上面所介绍的Commit
和Rollback
都属于理想情况,但在实际系统中,Commit
和Rollback
指令都有可能在传输途中丢失。那么当出现这种情况的时候,消息中间件是如何保证数据一致性呢?——答案就是超时询问机制。
系统 A 除了实现正常的业务流程外,还需提供一个事务询问的接口,供消息中间件调用。当消息中间件收到一条事务型消息后便开始计时,如果到了超时时间也没收到系统 A 发来的Commit
或Rollback
指令的话,就会主动调用系统 A 提供的事务询问接口询问该系统目前的状态。该接口会返回三种结果:
消息中间件的超时询问机制能够防止上游系统因在传输过程中丢失Commit/Rollback
指令而导致的系统不一致情况,而且能降低上游系统的阻塞时间,上游系统只要发出Commit/Rollback
指令后便可以处理其他任务,无需等待确认应答。而Commit/Rollback
指令丢失的情况通过超时询问机制来弥补,这样大大降低上游系统的阻塞时间,提升系统的并发度。
下面来说一说消息投递过程的可靠性保证。当上游系统执行完任务并向消息中间件提交了Commit
指令后,便可以处理其他任务了,此时它可以认为事务已经完成,接下来消息中间件一定会保证消息被下游系统成功消费掉!那么这是怎么做到的呢?这由消息中间件的投递流程来保证。
消息中间件向下游系统投递完消息后便进入阻塞等待状态,下游系统便立即进行任务的处理,任务处理完成后便向消息中间件返回应答。消息中间件收到确认应答后便认为该事务处理完毕!
如果消息在投递过程中丢失,或消息的确认应答在返回途中丢失,那么消息中间件在等待确认应答超时之后就会重新投递,直到下游消费者返回消费成功响应为止。当然,一般消息中间件可以设置消息重试的次数和时间间隔,比如:当第一次投递失败后,每隔五分钟重试一次,一共重试 3 次。如果重试 3 次之后仍然投递失败,那么这条消息就需要人工干预。
有的同学可能要问:消息投递失败后为什么不回滚消息,而是不断尝试重新投递?
这就涉及到整套分布式事务系统的实现成本问题。我们知道,当系统 A 将向消息中间件发送Commit
指令后,它便去做别的事情了。如果此时消息投递失败,需要回滚的话,就需要让系统 A 事先提供回滚接口,这无疑增加了额外的开发成本,业务系统的复杂度也将提高。对于一个业务系统的设计目标是,在保证性能的前提下,最大限度地降低系统复杂度,从而能够降低系统的运维成本。
不知大家是否发现,上游系统A向消息中间件提交
Commit/Rollback
消息采用的是异步方式,也就是当上游系统提交完消息后便可以去做别的事情,接下来提交、回滚就完全交给消息中间件来完成,并且完全信任消息中间件,认为它一定能正确地完成事务的提交或回滚。然而,消息中间件向下游系统投递消息的过程是同步的。也就是消息中间件将消息投递给下游系统后,它会阻塞等待,等下游系统成功处理完任务返回确认应答后才取消阻塞等待。为什么这两者在设计上是不一致的呢?
首先,上游系统和消息中间件之间采用异步通信是为了提高系统并发度。业务系统直接和用户打交道,用户体验尤为重要,因此这种异步通信方式能够极大程度地降低用户等待时间。此外,异步通信相对于同步通信而言,没有了长时间的阻塞等待,因此系统的并发性也大大增加。但异步通信可能会引起Commit/Rollback
指令丢失的问题,这就由消息中间件的超时询问机制来弥补。
那么,消息中间件和下游系统之间为什么要采用同步通信呢?
异步能提升系统性能,但随之会增加系统复杂度;而同步虽然降低系统并发度,但实现成本较低。因此,在对并发度要求不是很高的情况下,或者服务器资源较为充裕的情况下,我们可以选择同步来降低系统的复杂度。
我们知道,消息中间件是一个独立于业务系统的第三方中间件,它不和任何业务系统产生直接的耦合,它也不和用户产生直接的关联,它一般部署在独立的服务器集群上,具有良好的可扩展性,所以不必太过于担心它的性能,如果处理速度无法满足我们的要求,可以增加机器来解决。而且,即使消息中间件处理速度有一定的延迟那也是可以接受的,因为前面所介绍的BASE理论就告诉我们了,我们追求的是最终一致性,而非实时一致性,因此消息中间件产生的时延导致事务短暂的不一致是可以接受的。
最大努力通知也被称为定期校对,其实在方案二中已经包含,这里再单独介绍,主要是为了知识体系的完整性。这种方案也需要消息中间件的参与,其过程如下:
上面是一个理想化的过程,但在实际场景中,往往会出现如下几种意外情况:
对于第一种情况,消息中间件具有重试机制,我们可以在消息中间件中设置消息的重试次数和重试时间间隔,对于网络不稳定导致的消息投递失败的情况,往往重试几次后消息便可以成功投递,如果超过了重试的上限仍然投递失败,那么消息中间件不再投递该消息,而是记录在失败消息表中,消息中间件需要提供失败消息的查询接口,下游系统会定期查询失败消息,并将其消费,这就是所谓的“定期校对”。
如果重复投递和定期校对都不能解决问题,往往是因为下游系统出现了严重的错误,此时就需要人工干预。
对于第二种情况,需要在上游系统中建立消息重发机制。可以在上游系统建立一张本地消息表,并将 任务处理过程 和 向本地消息表中插入消息 这两个步骤放在一个本地事务中完成。如果向本地消息表插入消息失败,那么就会触发回滚,之前的任务处理结果就会被取消。如果这量步都执行成功,那么该本地事务就完成了。接下来会有一个专门的消息发送者不断地发送本地消息表中的消息,如果发送失败它会返回重试。当然,也要给消息发送者设置重试的上限,一般而言,达到重试上限仍然发送失败,那就意味着消息中间件出现严重的问题,此时也只有人工干预才能解决问题。
对于不支持事务型消息的消息中间件,如果要实现分布式事务的话,就可以采用这种方式。它能够通过重试机制+定期校对实现分布式事务,但相比于第二种方案,它达到数据一致性的周期较长,而且还需要在上游系统中实现消息重试发布机制,以确保消息成功发布给消息中间件,这无疑增加了业务系统的开发成本,使得业务系统不够纯粹,并且这些额外的业务逻辑无疑会占用业务系统的硬件资源,从而影响性能。
因此,尽量选择支持事务型消息的消息中间件来实现分布式事务,如 RocketMQ。
TCC即为Try Confirm Cancel
,它属于补偿型分布式事务。顾名思义,TCC 实现分布式事务一共有三个步骤:
Try
:尝试待执行的业务
Confirm
:执行业务
Cancel
:取消执行的业务
下面以一个转账的例子来解释下 TCC 实现分布式事务的过程。
假设用户 A 用他的账户余额给用户 B 发一个 100 元的红包,并且余额系统和红包系统是两个独立的系统。
Try
Confirm
Cancel
在传统事务机制中,业务逻辑的执行和事务的处理,是在不同的阶段由不同的部件来完成的:业务逻辑部分访问资源实现数据存储,其处理是由业务系统负责;事务处理部分通过协调资源管理器以实现事务管理,其处理由事务管理器来负责。二者没有太多交互的地方,所以,传统事务管理器的事务处理逻辑,仅需要着眼于事务完成(Commit/Rollback
)阶段,而不必关注业务执行阶段。
TCC 服务是由Try/Confirm/Cancel
业务构成的,其Try/Confirm/Cancel
业务在执行时,会访问资源管理器(Resource Manager
,下文简称 RM)来存取数据。这些存取操作,必须要参与 RM 本地事务,以使其更改的数据要么都Commit
,要么都Rollback
。这一点不难理解,考虑一下如下场景:
假设图中的服务 B 没有基于RM本地事务(以 RDBS 为例,可通过设置auto-commit
为true
来模拟),那么一旦[B:Try]
操作中途执行失败,TCC 事务框架后续决定回滚全局事务时,该[B:Cancel]
则需要判断[B:Try]
中哪些操作已经写到 DB、哪些操作还没有写到 DB:假设[B:Try]
业务有 5 个写库操作,[B:Cancel]
业务则需要逐个判断这 5 个操作是否生效,并将生效的操作执行反向操作。
不幸的是,由于[B:Cancel]
业务也有n(0<=n<=5)
个反向的写库操作,此时一旦[B:Cancel]
也中途出错,则后续的[B:Cancel]
执行任务更加繁重。因为,相比第一次[B:Cancel]
操作,后续的[B:Cancel]
操作还需要判断先前的[B:Cancel]
操作的n(0<=n<=5)
个写库中哪几个已经执行、哪几个还没有执行,这就涉及到了幂等性问题。而对幂等性的保障,又很可能还需要涉及额外的写库操作,该写库操作又会因为没有 RM 本地事务的支持而存在类似问题。可想而知,如果不基于 RM 本地事务,TCC 事务框架是无法有效的管理 TCC 全局事务的。
反之,基于 RM 本地事务的 TCC 事务,这种情况则会很容易处理:[B:Try]
操作中途执行失败,TCC 事务框架将其参与 RM 本地事务直接Rollback
即可。后续 TCC 事务框架决定回滚全局事务时,在知道“[B:Try]
操作涉及的 RM 本地事务已经Rollback
”的情况下,根本无需执行[B:Cancel]
操作。
换句话说,基于 RM 本地事务实现 TCC 事务框架时,一个 TCC 型服务的 Cancel 业务要么执行,要么不执行,不需要考虑部分执行的情况。
一般认为,服务的幂等性,是指针对同一个服务的多次(n>1
)请求和对它的单次(n=1
)请求,二者具有相同的副作用。
在 TCC 事务模型中,Confirm/Cancel 业务可能会被重复调用,其原因很多。比如,全局事务在提交/回滚时会调用各 TCC 服务的 Confirm/Cancel 业务逻辑。执行这些 Confirm/Cancel 业务时,可能会出现如网络中断的故障而使得全局事务不能完成。因此,故障恢复机制后续仍然会重新提交/回滚这些未完成的全局事务,这样就会再次调用参与该全局事务的各 TCC 服务的 Confirm/Cancel 业务逻辑。
既然 Confirm/Cancel 业务可能会被多次调用,就需要保障其幂等性。那么,应该由 TCC 事务框架来提供幂等性保障?还是应该由业务系统自行来保障幂等性呢?个人认为,应该是由 TCC 事务框架来提供幂等性保障。如果仅仅只是极个别服务存在这个问题的话,那么由业务系统来负责也是可以的;然而,这是一类公共问题,毫无疑问,所有 TCC 服务的 Confirm/Cancel 业务存在幂等性问题。TCC 服务的公共问题应该由 TCC 事务框架来解决;而且,考虑一下由业务系统来负责幂等性需要考虑的问题,就会发现,这无疑增大了业务系统的复杂度。