分布式系统
分布式系统的第一性原理
分布式系统的本质问题
分布式系统的本质问题只有一个:
状态、顺序的一致性问题
即:
- 多个节点各自独立运行
- 没有全局时钟
- 通过不可靠网络通信
在这样的环境中,系统如何:
- 判断“当前状态是什么”
- 判断“谁是对的”
- 判断“事情是否已经发生”
为什么必须引入分布式
分布式系统的存在,源于:用户日益增长的高可用、低延迟、海量数据需求 与 单机算力、存储、网络上限之间的矛盾
这一矛盾驱动的必然选择:
- **计算规模扩大**:单机性能与成本不再线性
- **数据规模增长**:状态无法放入单一节点
- **可用性要求提高**:任何单点都不可接受
- **组织协作需求**:系统必须支持并行演进
不可靠世界:分布式系统的基本假设
分布式系统的所有复杂性,来源于一个前提:
我们生活在一个不可靠的世界中。
这一不可靠性体现在三个不可消除的维度。
网络不可靠:通信不确定性
节点之间只能通过消息协作,但网络具备以下特性:
- 消息可能延迟
- 消息可能丢失
- 消息可能重复
- 无法区分“慢”与“死”
因此:
分布式系统中不存在“确定的通信”,只存在“推测”。根本原因是发送方只能通过响应推断对方的状态
超时:主要的判断机制
- 系统无法知道消息是否还会到达
- 只能在等待一段时间后做出判断
- 超时不是精确科学,而是统计选择
超时并不代表失败,而是系统做出的一个假设。
节点不可靠:部分失效成为常态
分布式系统中,失效不是”全有或全无”,而是:
部分节点在部分时间失效(Partial Failure)
常见失效模型:
- **崩溃-中止故障**:节点停止响应
- **崩溃-恢复故障**:节点可能在未知时间后恢复
- **拜占庭故障**:节点行为不可预测
工程实践中通常假设:
非拜占庭故障模型,以换取系统复杂度的可控性。
时间不可靠:不存在全局时间
计算机中的时间具备以下特征:
- 本地时钟会漂移
- 时钟同步存在误差
- 进程可能被任意暂停(STW / 调度)
因此:
时间顺序无法作为分布式系统的可靠依据。
两类时间认知
- **物理时间**:有意义但不可靠(NTP)
- **逻辑时间**:无物理含义但顺序可靠
分布式系统必须优先使用逻辑顺序而非物理时间。
我们能做的唯一事情:假设与多数
在不可靠世界中,分布式系统能依赖的能力极其有限。
多数原则(Quorum)
当一个状态被多数节点认可时,我们将其视为”当前真相”。
- 多数不是正确性的保证
- 而是**系统能达成的最强一致假设**
这是共识算法、选主机制、一致性存储的共同基础。
假设驱动的系统设计
分布式系统并不”知道事实”,而是:
- 基于超时做假设
- 基于多数做裁决
- 基于版本做冲突判断
分布式系统是一个持续修正假设的系统。
一致性模型:对状态一致性的不同承诺
一致性并非非黑即白,而是一条连续谱。
一致性不是目标,而是代价函数
一致性越强:
常见一致性模型谱系
| 一致性模型 |
本质承诺 |
代价 |
典型场景 |
| 线性化 |
单一时间线幻觉 |
可用性 |
锁、选主 |
| 顺序一致 |
全局操作顺序 |
延迟 |
日志系统 |
| 因果一致 |
因果关系保序 |
复杂度 |
协作系统 |
| 最终一致 |
状态最终收敛 |
冲突处理 |
大规模存储 |
线性化的本质
线性化的核心目标是:
让系统看起来像只有一个副本。
其实现方式本质是:
顺序与逻辑时间
因果关系是唯一可靠的顺序来源
- 如果 B 依赖 A,则 A → B
- 不存在因果关系的事件,其顺序无意义
逻辑时钟
逻辑时钟解决的不是”什么时候发生”,而是:
谁先于谁发生。
共识:分布式系统的中枢能力
共识的角色
共识解决的是:系统对同一状态是否达成一致判断。
其工程形式通常是:
全序广播
全序广播的目标是:
这是构建一致状态机的基础能力。
工程能力模型:从工具到能力
| 架构能力 |
对抗问题 |
常见手段 |
| 扩展性 |
规模增长 |
分片、无共享 |
| 可用性 |
节点失败 |
副本、选主 |
| 稳定性 |
瞬时冲击 |
限流、降级 |
| 一致性 |
状态分歧 |
共识、版本 |
分布式系统的工程哲学
反直觉事实
- 失败是常态,而非异常
- 超时不是失败,而是判断
- 不一致并不等于错误
- 可用性是设计出来的
设计取舍
分布式系统不是"选择正确方案",
而是明确你愿意付出的代价。
适用边界
核心原则:代价先验
分布式架构的本质是代价交换,而非能力增强。引入分布式之前,必须明确你愿意为之付出的代价。
驱动因素:为什么必须分布式
只有以下力量能驱动分布式架构的引入——缺少任何一个,分布式就是过度设计:
| 驱动力 |
本质 |
| 规模压力 |
单机算力/存储/带宽无法承载业务量 |
| 可用性要求 |
单点故障不可接受,业务中断代价极高 |
| 独立演进 |
业务领域边界清晰,需并行开发与发布 |
| 地域分布 |
用户或数据有物理位置约束 |
主要代价
分布式系统引入的代价是不可消除的根本性成本:
- **延迟**:跨网络调用比进程内调用更高
- **一致性**:发生网络分区时,强一致性与高可用性不可兼得(CAP 约束)
- **复杂性**:节点增多导致故障定位、版本管理、运维成本指数增长
- **组织摩擦**:服务边界需要跨团队协调
不适用场景的原则判断
以下场景天然不适合分布式,应优先选择单体:
- **业务规模未超出单机上限** — 分布式解决的是规模问题,规模未达瓶颈时分布式徒增复杂性
- **强一致性事务频繁** — 分布式事务的代价极高,频繁跨服务强一致性场景下分布式是反模式
- **团队能力或基础设施不足** — 分布式需要配套的 CI/CD、监控、服务治理能力;能力不足时分布式反而降低可靠性
- **业务边界模糊** — 服务拆分依赖清晰的领域边界;边界模糊时的分布式拆分只会制造"分布式单体"
反模式与误区
核心认知:不确定性不可消除
分布式系统所有反模式都源于一个事实:错误必然发生。
系统的应对方式决定了架构质量,而非避免错误的程度。
三个根本性误解
| 误解 |
真相 |
| 可以消除不确定性 |
只能管理,无法消除 |
| 一致性是可选特性 |
一致性是代价函数,越强代价越大 |
| 存在"正确"算法 |
所有算法都是权衡,无银弹 |
常见反模式
| 反模式 |
核心问题 |
典型后果 |
| 分布式单体 |
服务间高耦合 |
改一处动全身 |
| 级联故障 |
故障扩散 |
雪崩 |
| 过度信任超时 |
超时≠失败 |
重复操作、幂等破坏 |
| 一致性模型错配 |
场景与一致性不匹配 |
支付丢数据 / Feed响应慢 |
| 循环依赖 |
调用环 |
局部故障→全链路瘫 |
| 无界重试 |
故障流量无管控 |
下游过载 |
关联内容(自动生成)
- [/软件工程/架构/系统设计/分布式/分布式理论.html](/软件工程/架构/系统设计/分布式/分布式理论.html) 深入探讨了CAP定理、BASE理论等分布式系统的基本理论,与本文的原理驱动设计思想高度相关
- [/软件工程/架构/系统设计/分布式/分布式数据.html](/软件工程/架构/系统设计/分布式/分布式数据.html) 详细分析了分布式数据存储、复制和分区策略,是对分布式系统原理的具体实现
- [/软件工程/架构/系统设计/分布式/分布式一致性系统.html](/软件工程/架构/系统设计/分布式/分布式一致性系统.html) 从制度化管理角度分析分布式一致性,与本文对状态一致性的探讨形成互补
- [/软件工程/架构/系统设计/分布式/分布式一致性与协调机制.html](/软件工程/架构/系统设计/分布式/分布式一致性与协调机制.html) 从协调机制角度深入分析锁、Session、事务等与共识的互补关系
- [/软件工程/架构/系统设计/分布式/分布式共识算法.html](/软件工程/架构/系统设计/分布式/分布式共识算法.html) 详细介绍了Paxos、Raft等共识算法,是实现分布式系统一致性的核心技术
- [/软件工程/架构/系统设计/分布式/分布式事务.html](/软件工程/架构/系统设计/分布式/分布式事务.html) 探讨了分布式事务的实现方案,是分布式系统中保证数据一致性的关键实践
- [/软件工程/架构/系统设计/高并发.html](/软件工程/架构/系统设计/高并发.html) 高并发场景下的一致性权衡与分布式系统设计直接相关
- [/软件工程/架构/系统设计/故障管理.html](/软件工程/架构/系统设计/故障管理.html) 分布式故障处理是节点不可靠性的延伸讨论
- [/软件工程/架构/系统设计/扩展性.html](/软件工程/架构/系统设计/扩展性.html) 扩展性是分布式系统设计的核心目标之一,与本文探讨的分布式系统设计原则密切相关
- [/软件工程/架构/系统设计/可用性.html](/软件工程/架构/系统设计/可用性.html) 可用性是分布式系统设计的重要权衡之一,与CAP定理中的A要素相关
- [/软件工程/架构/架构.html](/软件工程/架构/架构.html) 物理视图中的分布式部署与网络拓扑是分布式系统的架构映射
- [/中间件/数据库/分布式数据库.html](/中间件/数据库/分布式数据库.html) 分布式数据库是分布式系统的重要实现,与本文的理论基础相互印证