|
|
第5章 分布式键值系统4 D, }* e! e$ B0 W2 T. }
分布式键值模型可以看成是分布式表格模型的一种特例。然而,由于它只支持
( c4 e' i( c( x! I0 `! C, g0 U* G针对单个key-value的增、删、查、改操作,因此,适用3.3.1节提到的哈希分布算
" L: |# C/ j9 p- U9 X( i法。6 t( u& \* U1 Y2 v7 q6 x
Amazon Dynamo是分布式键值系统,最初用于支持购物车应用。Dynamo将很多# b" B: Y- b- ^0 `$ {
分布式技术融合到一个系统内,学习Dynamo的设计对理解分布式系统的理论很有帮
: ^1 p( C* h0 Y0 I o5 P助。当然,这个系统的主要价值在于学术层面,从工程的角度看,Dynamo牺牲了一
+ e. c* `/ G! f( K4 R致性,却没有换来什么好处,不适合直接模仿。
4 h/ Q" }8 d2 y& |: H$ MTair是淘宝网开发的分布式键值系统,它借鉴了Dynamo系统的一些设计思路并! E5 I# A" c$ a4 `* e+ S
做了一些创新,其中最大的变化就是从P2P架构修改为带有中心节点的架构,笔者认
$ |" h1 n/ a: j% k为,这种思路在大方向上是正确的。, h$ I. L0 {' t7 P! s6 k0 a
本章首先详细介绍Amazon Dynamo的设计思路,接着介绍淘宝网的Tair系统。7 S+ I5 E$ h" E J5 c# C4 N
5.1 Amazon Dynamo/ D% A: q; f+ X, V
Dynamo以很简单的键值方式存储数据,不支持复杂的查询。Dynamo中存储的是2 {. w1 K; F4 s7 T7 [
数据值的原始形式,不解析数据的具体内容。Dynamo主要用于Amazon的购物车及S3
# w, [1 O; y6 w0 m8 I3 w云存储服务。% W8 `( \. X; x6 M# [1 g1 k
Dynamo通过组合P2P的各种技术打造了线上可运行的分布式键值系统,表5-1中" b. m5 a4 T$ V
列出了Dynamo设计时面临的问题及最终采取的解决方案。
$ n8 H, v2 e# {5.1.1 数据分布
) k P- j$ k' E- e2 w. |Dynamo系统采用3.3.1节(见图3-2)中介绍的一致性哈希算法将数据分布到多个
( W* T. i* q: m d! ~存储节点中。一致性哈希算法思想如下:给系统中每个节点分配一个随机token,这
' I. @* c! s. V+ ^! {+ \0 ?些token构成一个哈希环。执行数据存放操作时,先计算主键的哈希值,然后存放到, `3 N% u4 Y6 @/ r
顺时针方向第一个大于或者等于该哈希值的token所在的节点。一致性哈希的优点在
3 n) G- m" t- Q& i+ e6 ~/ |5 l于节点加入/删除时只会影响到在哈希环中相邻的节点,而对其他节点没影响。) q0 d# c: A$ x& u# ^
考虑到节点的异构性,不同节点的处理能力差别可能很大,Dynamo使用了改进6 i: M: h3 s8 M4 E4 E
的一致性哈希算法:每个物理节点根据其性能的差异分配多个token,每个token对应
; @4 S' t" b3 }% p# d6 \, b& O4 y一个“虚拟节点”。每个虚拟节点的处理能力基本相当,并随机分布在哈希空间中。- ~% y6 `$ b( N" E/ x2 r, ?
存储时,数据按照哈希值落到某个虚拟节点负责的区域,然后被存储在该虚拟节点0 E7 F4 O; D9 e% Z9 S2 \
所对应的物理节点中。
7 {( z( r% @3 U$ |& M/ e如图5-1所示,某Dynamo集群中原来有3个节点,每个节点分配了3个token:节点
7 x2 A9 L0 S- ?( B; @ }' {8 z1(1,4,7),节点2(2,3,8),节点3(0,5,6)。存放数据时,首先计算主
* ?0 q" p. b4 V- f: c! o* u% w键的哈希值,并根据哈希值将数据存放到对应token所在的节点。假设增加节点4,
) v, c$ v! n, P! o0 \2 T2 jDynamo集群可能会分别将节点1和节点3的token 1和token 5迁移到节点4,节点token分
" E8 u" B. e/ ?配情况变为:节点1(4,7),节点2(2,3,8),节点3(0,6)以及节点4(1,8 ^$ b, t* x* d$ `; W* Z( I7 {
5)。这样就实现了自动负载均衡。& U) A [2 c/ p9 p
图 5-1 Dynamo虚拟节点
8 H( P8 R0 z+ E* k% C为了找到数据所属的节点,要求每个节点维护一定的集群信息用于定位。
1 Q* Z' y/ S1 M/ gDynamo系统中每个节点维护整个集群的信息,客户端也缓存整个集群的信息,因+ D5 X# @" u, h- P
此,绝大部分请求能够一次定位到目标节点。# s' m0 @, E- K$ g0 U
由于机器或者人为的因素,系统中的节点成员加入或者删除经常发生,为了保4 b, R9 X" ~- g: n
证每个节点缓存的都是Dynamo集群中最新的成员信息,所有节点每隔固定时间(比$ C V/ r( k" ~8 j5 p/ v% L
如1s)通过Gossip协议的方式从其他节点中任意选择一个与之通信的节点。如果连接; v8 \% L4 w0 q* j5 z. ]7 @+ g
成功,双方交换各自保存的集群信息。
8 ^/ n/ _& b6 {3 W- i, h0 e4 sGossip协议用于P2P系统中自治的节点协调对整个集群的认识,比如集群的节点
) [% F0 O- r# w. @& F状态、负载情况。我们先看看两个节点A和B是如何交换对世界的认识的:
! e# y8 R4 S% t# M3 s* q; D7 t6 m9 ]6 Q1)A告诉B其管理的所有节点的版本(包括Down状态和Up状态的节点);
' q$ Q. l$ E& W5 H& L! F2)B告诉A哪些版本它比较旧了,哪些版本它有最新的,然后把最新的那些节
( [* H- W1 ~$ M点发给A(处于Down状态的节点由于版本没有发生更新所以不会被关注);
4 ?* @0 b, S1 t9 z, F) @$ X3)A将B中比较旧的节点发送给B,同时将B发送来的最新节点信息做本地更
4 M8 x `! x+ O3 G- T4 y+ E# e. t新;$ {4 c, p2 B# e" j* Q
4)B收到A发来的最新节点信息后,对本地缓存的比较旧的节点做更新。
3 e+ O1 V5 N! _由于种子节点的存在,新节点加入可以做得比较简单。新节点加入时首先与种
, W) S1 g6 C! ^( o E- _1 b; E# m子节点交换集群信息,从而对集群有了认识。DHT(Distributed Hash Table,也称为( M# d9 {* L8 i) @
一致性哈希表)环中原有的其他节点也会定期和种子节点交换集群信息,从而发现. P6 b3 l% T- B3 q
新节点的加入。
5 H. |0 m0 J5 R集群不断变化,可能随时有机器下线,因此,每个节点还需要定期通过Gossip协7 a+ j) X" t0 d/ X( p" o$ M' f7 y' ^+ g
议同其他节点交换集群信息。如果发现某个节点很长时间状态都没有更新,比如距
" {' i9 C+ c, N* m2 i4 V离上次更新的时间间隔超过一定的阈值,则认为该节点已经下线了。% s" ]& m# h- c- }/ [# U
5.1.2 一致性与复制
7 p' X, l9 g& I# n为了处理节点失效的情况(DHT环中删除节点),需要对节点的数据进行复
! E( o% P+ I5 g4 L制。思路如下:假设数据存储N份,DHT定位到的数据所属节点为K,则数据存储在/ S9 y) e9 `' B7 a
节点K,K+1,……,K+N-1上。如果第K+i(0≤i≤N-1)台机器宕机,则往后找一台
8 [, a+ i; f+ K# H% `机器K+N临时替代。如果第K+i台机器重启,临时替代的机器K+N能够通过Gossip协
* }: F) k& h, r( u) q7 a- G议发现,它会将这些临时数据归还K+i,这个过程在Dynamo中叫做数据回传(Hinted
# W0 Y3 K4 P6 O6 DHandoff)。机器K+i宕机的这段时间内,所有的读写均落入到机器[K,K+i-1]和
' ^# Z" h, q, k [% D% l8 E[K+i+1,K+N]中。如果机器K+i永久失效,机器K+N需要进行数据同步操作。一般来5 o$ j1 J* t$ @: o
说,从机器K+i宕机开始到被认定为永久失效的时间不会太长,积累的写操作也不会
# H+ @$ }! R# D8 J4 r9 R太多,可以利用Merkle树对机器的数据文件进行快速同步(参见下一小节)。- a3 i: |) c3 t
NWR是Dynamo中的一个亮点,其中N表示复制的备份数,R指成功读操作的最- w2 `* n# ~8 J2 O- n; f
少节点数,W指成功写操作的最少节点数。只要满足W+R>N,就可以保证当存在不% u+ s5 f* Q& m0 ?/ F/ N
超过一台机器故障的时候,至少能够读到一份有效的数据。如果应用重视读效率,
* @$ |' o$ K' B$ o! B5 A! L) t可以设置W=N,R=1;如果应用需要在读/写之间权衡,一般可设置N=3,W=2,2 @- g: x9 R2 s" S* r9 v
R=2;当然,如果丢失最后的一些更新也不会有影响的话,也可以选择W=1,R=1,
$ k% e3 G$ ]0 `# YN=3。
6 i T0 |* t9 W* PNWR看似很完美,其实不然。在Dynamo这样的P2P集群中,由于每个节点存储0 t% n$ C2 t9 k# u8 `/ a4 S% j* W2 n
的集群信息有所不同,可能出现同一条记录被多个节点同时更新的情况,无法保证
/ N( h+ k& N n0 b( K多个节点之间的更新顺序。为此Dynamo引入向量时钟(Vector Clock)的技术手段来
- h) T2 F7 [4 b+ }9 `尝试解决冲突,如图5-2所示。
! G2 \! F o1 S# P/ \" f图 5-2 向量时钟
" Y0 c; x& r" y" k1 fDynamo中的向量时钟用一个[nodes,counter]对表示。其中,nodes表示节点,3 b% R# d9 a; C; r% K' q+ ]
counter是一个计数器,初始为0,节点每次更新操作加1。首先,Sx对某个对象进行( M/ R+ R$ v* e, q0 B
一次写操作,产生一个对象版本D1([Sx,1]),接着Sx再次操作,counter值更新为
1 Q+ D0 D E8 Z# g* B: @7 O2,产生第二个版本D2([Sx,2]);之后,Sy和Sz同时对该对象进行写操作,Sy将
( X/ b& h D- J* ]: M& ?5 I* ]! v6 {自身的信息加入向量时钟产生了新的版本D3([Sx,2],[Sy,1]),Sz同样产生了新
7 p/ h$ T! Q/ f/ D% o! C# S的版本信息D4([Sx,2],[Sz,1]),这时系统中就有了两个冲突的版本。最常见的4 N4 S& R: d, V1 X0 @6 f& u) {
冲突解决方法有两种:一种是通过客户端逻辑来解决,比如购物车应用;另外一种
7 C6 E3 J( b- d) P常见的策略是"last write wins",即选择时间戳最新的副本,然而,这个策略依赖集群
, g, o8 K1 L7 I8 `内节点之间的时钟同步算法,不能完全保证准确性。9 _4 P3 T" w, P" D% C* ?; K- }
向量时钟不能完美解决冲突,即使N+W>R,Dynamo也只能保证每个读取操作能% ^/ X( U8 x6 @" g% b$ q- s
读到所有的更新版本,这些版本可能冲突,需要进行版本合并。Dynamo只保证最终
1 _4 R" d3 w. c* C一致性,如果多个节点之间的更新顺序不一致,客户端可能读取不到期望的结果。
$ ~2 ]) P0 m2 a- S+ H) T! X这个不一致问题需要注意,因为影响到了应用程序的设计和对整个系统的测试工
* X9 Y% }: }7 E' i3 o0 T作。0 R3 Q& m6 n5 r, b/ I
5.1.3 容错
( ]( P: @! V/ y. FDynamo把异常分为两种类型:临时性的异常和永久性异常。有一些异常是临时
r5 r$ J# |+ l, b! s性的,比如机器假死;其他异常,如硬盘报修或机器报废等,由于其持续时间太
9 v) E: Z& `& B0 c" _7 Z4 q1 p长,称为永久性的。下面解释Dynamo的容错机制:
; l, h z6 G* w. j2 Y●数据回传 在Dynamo设计中,一份数据被写到K,K+1,……,K+N-1这N台
6 R+ q+ p H# Q* A" c$ F5 T机器上,如果机器K+i(0≤i≤N-1)宕机,原本写入该机器的数据转移到机器K+N,
: n% @2 d6 y7 _/ |' b如果在指定的时间T内K+i重新提供服务,机器K+N将通过Gossip协议发现,并将启
?, [( T% _2 w+ Y. }- H* a动传输任务将暂存的数据回传给机器K+i。
; e* w* R0 j4 Q( Z●Merkle树同步 如果超过了时间T机器K+i还是处于宕机状态,这种异常被认为( j3 p) K2 c9 F$ Z0 W$ H# b
是永久性的。这时需要借助Merkle树机制从其他副本进行数据同步。Merkle树同步的
3 ? x0 q( x) w( @/ F* O. V原理很简单,每个非叶子节点对应多个文件,为其所有子节点值组合以后的哈希/ \5 L$ D0 P; d0 V" U& v! o
值;叶子节点对应单个数据文件,为文件内容的哈希值。这样,任何一个数据文件: g+ @4 _; d( u; _
不匹配都将导致从该文件对应的叶子节点到根节点的所有节点值不同。每台机器对
' P0 V! }2 r+ E, I; C* j9 h2 i每一段范围的数据维护一颗Merkle树,机器同步时首先传输Merkle树信息,并且只需5 v- s# w, P+ X' \+ T3 x7 }
要同步从根到叶子的所有节点值均不相同的文件。
) Q4 C9 w2 ` t6 S; D2 g! P- O●读取修复 假设N=3,W=2,R=2,机器K宕机,可能有部分写操作已经返回客
) ]6 w3 H0 E/ P' X9 [户端成功了但是没有完全同步到所有的副本,如果机器K出现永久性异常,比如磁盘
! @3 ~3 q% @: k. J: u+ h& @9 W故障,三个副本之间的数据一直都不一致。客户端的读取操作如果发现了某些副本
1 V: y6 ]( k" a: ?8 Z/ G版本太老,则启动异步的读取修复任务。该任务会合并多个副本的数据,并使用合- |' D' F0 _( K1 w$ v$ O
并后的结果更新过期的副本,从而使得副本之间保持一致。
# w& O* v, k" g; Q1 p5.1.4 负载均衡
* K; W8 N& P$ T* E; q) wDynamo的负载均衡取决于如何给每台机器分配虚拟节点号,即token。由于集群4 `) {; N' j! ~3 G( n! K
环境的异构性,每台物理机器包含多个虚拟节点。一般有如下两种分配节点号的方5 G4 R2 G- w! c" u) N) z! R
法。' E6 z, T9 M2 R8 F$ p4 t1 I- u
●随机分配。每台物理节点加入时根据其配置情况随机分配S个Token。这种方法" h3 H- } U; Q# P0 Z
的负载平衡效果还是不错的,因为自然界的数据大致是比较随机的,虽然可能出现
& g* G8 x' ^# a3 k" b2 a; H某段范围的数据特别多的情况(如baidu、sina等域名下的网页特别多),但是只要切$ K' { |3 m' T9 }1 R# G0 {
分足够细,即S足够大,负载还是比较均衡的。这个方法的问题是可控性较差,新节
5 f, F5 w; |; i点加入/离开系统时,集群中的原有节点都需要扫描所有的数据从而找出属于新节点% e6 n" f4 k; X/ \8 T
的数据,Merkle树也需要全部更新;另外,增量归档/备份变得几乎不可能。4 c7 X5 e( ?3 U, N# @
●数据范围等分+随机分配。为了解决上种方法的问题,首先将数据的哈希空间
* C t/ w( O0 n等分为Q=N×S份(N=机器个数,S=每台机器的虚拟节点数),然后每台机器随机选% l0 N/ B M. E
择S个分割点作为Token。和上种方法一样,这种方法的负载也比较均衡,并且每台
4 b/ \" N G5 V: c机器都可以对属于每个范围的数据维护一颗逻辑上的Merkle树,新节点加入/离开时1 E& o5 ]7 t9 z" w4 F
只需扫描部分数据进行同步,并更新这部分数据对应的逻辑Merkle树,增量归档也2 ]" ^+ B0 Q# d, }; d& l6 b5 A
变得简单。
4 F8 K- X- j" H另外,Dynamo对单机的前后台任务资源分配也做了一些工作。Dynamo中同步操
0 \3 s( O5 W3 s' x+ K5 H" {5 Y# y作、写操作重试等后台任务较多。为了不影响正常的读写服务,需要对后台任务能" @6 F+ G% T E+ N9 @) z
够使用的资源做出限制。Dynamo中维护一个资源授权系统。该系统将整个机器的资: A0 q- E& o6 b& S0 `
源切分成多个片,监控60秒内的磁盘读写响应时间,事务超时时间及锁冲突情况,: x+ q7 `4 i- Z: l) e) D
根据监控信息算出机器负载从而动态调整分配给后台任务的资源片个数。
5 d e x' w7 q: d5.1.5 读写流程5 `1 p; F; X( @) Z$ n" O$ F! b
Dynamo的读写流程如图5-3和图5-4所示。
$ e7 w6 G: P8 w) a5 e, z图 5-3 Dynamo写入流程
0 B" H& b* b8 k: f图 5-4 Dynamo读取流程
) F, K( o0 p- h# ]6 oDynamo写入数据时,首先,根据一致性哈希算法计算出每个数据副本所在的存) o( r2 j6 H1 d+ V9 l g/ j
储节点,其中一个副本作为本次写操作的协调者。接着,协调者并发地往所有其他
' E ?0 f% I; U! k* C0 Z6 b副本发送写请求,每个副本将接收到的数据写入本地,协调者也将数据写入本地。# |- a8 h2 L4 P9 G$ `
当某个副本写入成功后,回复协调者。如果发给某个副本的写请求失败,协调者会
* J# I8 z* D& T6 [3 R( J+ x& U将它加入重试列表不断重试。等到W-1个副本回复写入成功后(即加上协调者共W个0 y1 x* N$ g. Y2 |: b, \
副本写入成功),协调者可以回复客户端写入成功。协调者回复客户端成功后,还
7 G5 g# a# ]" i2 V4 Z会继续等待或者重试,直到所有的副本都写入成功。
0 G r" Z: q: m* o% ?8 H; JDynamo读取数据时,首先,根据一致性哈希算法计算出每个副本所在的存储节
+ W8 S/ t/ L0 L6 `) T, Q点,其中一个副本作为本次读操作的协调者。接着,协调者根据负载策略选择R个副& u- d; y; @. l7 P- T; A
本,并发地向它们发送读请求。每个副本读取本地数据,协调者也读取本地数据。0 N% h% E* f& i
当某个副本读取成功后,回复协调者读取结果。等到R-1个副本回复读取成功后(即; N. A" C5 J z- P- R T# b
加上协调者共R个副本读取成功),协调者可以回复客户端。这里分为两种情况:如
% m: X6 w( o5 Q* I4 i' \' y& W果R个副本返回的数据完全一致,将某个副本的读取结果回复客户端;否则,需要根2 J$ \7 K; `( v) p5 Y
据冲突处理规则合并多个副本的读取结果。Dynamo系统默认的策略是根据修改时间
, p4 O6 ]5 s* [! |/ Q戳选择最新的数据,当然用户也可以自定义冲突处理方法。读取过程中如果发现某
/ I. C5 ?/ [5 K! f6 f0 v7 \* V些副本上的数据版本太旧,Dynamo内部会异步发起一次读取修复操作,使用冲突解
: S8 I/ m/ g9 D, b* }决后的结果修正错误的副本。
" h; A0 u9 D1 W& b( ^& q5.1.6 单机实现
" G5 c$ H, @+ P5 p& z2 A, \Dynamo的存储节点包含三个组件:请求协调、成员和故障检测、存储引擎。+ ?* L H! S7 T* T( P: D" z
Dynamo设计支持可插拔的存储引擎,比如Berkerly DB(BDB),MySQL InnoDB% b) h; D) R3 L
等。存储的需求很多,设计成可插拔的形式允许用户根据应用特点选择合适的存储
/ X D2 | h2 Q0 x引擎,比如BDB存储的对象大小一般在几十KB之内,而MySQL可以处理更大的对, n; G9 z5 i* O
象。用户会根据应用对象大小选择存储引擎,默认为BDB。0 S$ H7 m* U1 i! x1 t/ o
请求协调组件采用基于事件驱动的设计,每个客户端的读写请求对应一个状态
) } q8 @3 I+ P机,系统根据发生的事件及状态机中的状态决定下一步的操作。比如读取操作对应
. Y% v, E# B2 Z的状态包括:# {# q1 E1 h$ Y5 o
●协调者发送读请求到其他节点;& @+ S/ j" b2 }: z3 y
●等待其他节点返回读取结果,最少需要R-1个;
- A5 M8 R9 F7 _! u ^( Z; ~( A●如果请求其他节点返回失败,需要按照一定的策略重试;
* n- g) P) B4 I/ o- H# C- f●如果到达时间限制成功的节点仍然小于R-1个,返回客户端请求超时;% C1 ^2 W, r4 j. |7 w1 k
●合并协调者及其他R-1个节点的读取结果,并返回客户端,合并的结果可能包
) C; m( J) a, {+ ^$ n含多个冲突版本;如果设置了冲突解决方法,协调者还需要解决冲突。
: H* L5 j8 A% N* M读操作成功返回客户端以后对应的状态机不会立即被销毁,而是等待一小段时* {6 `/ ^- L0 [
间,这段时间内可能还有一些节点会返回过期的数据,协调者将更新这些节点的数( \: G) I1 [8 t/ V" M9 e
据到最新版本,这个过程称为读取修复。$ n8 ^& s+ G% n; n3 C0 l. X9 L5 |
5.1.7 讨论
' i+ g6 u6 C; c+ v. h2 r' {6 UDynamo采用无中心节点的P2P设计,增加了系统可扩展性,但同时带来了一致& w2 u4 B+ H( i( {7 p
性问题,影响上层应用。另外,一致性问题也使得异常情况下的测试变得更加困 }* b5 O9 u. X& }
难,由于Dynamo只保证最基本的最终一致性,多客户端并发操作的时候很难预测操
6 }$ H0 k$ x+ ~/ {$ d# E$ F1 C作结果,也很难预测不一致的时间窗口,影响测试用例设计。
, o" D2 B" L$ O. x* Q$ s总体上看,Dynamo在Amazon的使用场景有限,后续的很多系统,如Simpledb,
7 ?- p& s* ]- K1 T采用其他设计思路以提供更好的一致性。主流的分布式系统一般都带有中心节点,
+ y; f, B5 Y. T v$ f6 _+ |4 ]这样能够简化设计,而且中心节点只维护少量元数据,一般不会成为性能瓶颈。4 a* t; p9 J$ q9 K6 d% w& n: a8 Q
从Amazon、Facebook等公司的实践经验可以得出,Dynamo及其开源实现
) A% Y7 t+ F' `$ p5 R+ QCassandra在实践中受到的关注逐渐减少,无中心节点的设计短期之内难以成为主9 _7 Z5 F, y y9 N
流。另一方面,Dynamo综合使用了各种分布式技术,在实践过程中可以选择性借- H7 p7 z v' @+ \ l% U/ Y
鉴。: ~8 P( Q. h: }3 d# @) V' j; `4 A! J( Z
/ e2 J, L" n! X: z+ A" T. G
$ ]. M0 k2 B0 T2 T8 J: f |
|
发表于 2017-3-3 20:39:43
