分布式系统容错.ppt

1、第11章DDB的可靠性，概念，系统是由一组组件组成的机制，这些组件通过对来自具有可识别行为模式的环境的刺激做出反应而相互作用。组件1、组件2、组件3、环境、系统、刺激、响应、系统规格(规格)系统为所有可能的刺激产生的响应行为提供的描述必须遵循，概念-继续，故障任何偏离规格的行为软故障和硬故障间歇性和瞬态故障硬故障指永久性故障、错误设计等。故障、错误、故障、原因、结果、导致系统故障的事件链、概念-持续、软故障占90%以上，且比例稳定。1967年，美国空军指出，计算机中80%的电子故障是间歇性的。1967年，IBM指出90%的故障是间歇性的。1987年，格雷指出大多数软件故障都是瞬时故障。在其他不

2、同计算机系统的统计数据中，IBM/XA的操作系统可靠性报告为57%硬件，12%软件，14%操作，7%环境(斯坦福直线加速器SLAC)串列计算机18%硬件25%软件25%维护17%操作，14%环境ATT 5ESS专用小交换机32.3%硬件，44.3%软件。17.5%的操作软件故障很难讨论。Tandem指出：通信或数据库是软件故障的主要原因。软件失败的主要原因是代码中的错误。据报道，在1000个指令中，有0.25-10个错误、永久性故障、错误设计、不稳定或关键组件、不稳定的外部环境、操作员故障、系统故障、永久性错误、间歇性错误、瞬态错误、系统故障原因、概念-持续、可靠性DDDBMS意味着即使底层系

3、统不可靠，DDDBMS也可以继续处理用户需求。也就是说，即使分布式计算环境的组合失败，分布式数据库管理系统仍然可以执行用户的需求，而不会破坏数据库的一致性。提交协议和恢复协议的可靠性与事务的原子性和持久性有关。所涉及的协议包括提交和恢复、可靠性和可用性，可靠性是对符合某些权威规范的系统行为的度量。指在给定时间间隔内不会发生故障的概率。可靠性通常用于描述无法修复的系统。可用性是对符合某些权威规范的系统行为的度量。系统只能在给定时间点运行的概率。通常用于描述哪些系统可以修复。数据库行为所需的规范：与应用程序相关的事务满足一般系统规范，包括一致性约束(事务和应用程序之间的语义关系)。与应用程序无关的

4、事务保持它们的ACID属性(事务应该具有的属性)、可靠性和可用性连续性、正确性。数据库运行正常，满足一些规范化要求。可用性，它是可用的。有时可靠性和可用性这两者之间存在矛盾。-继续，例如，站点1站点2 X1 X2锁X1锁X22pc，就绪，发生故障，因此站点1准备提交，站点2等待。此时，站点2有两种可能性。 a基于正确性进行等待。和锁定2，直到故障恢复，但以可用性B为代价，引入不一致性，尽可能提高可用性，释放x2，其他事务可以执行，站点1正常结束，分布式系统是容错的，容错设计了一种方法，使系统识别可能的错误。在系统中建立一种机制，以便在导致系统故障之前能够检测到错误，并且能够清除或补偿错误。，基

5、本容错方法和技术，防止错误以确保实施的系统不包含任何错误，避免错误以确保系统不会带来错误(详细的设计方法和质量控制)，清除错误并检查那些在使用避免错误技术路线后仍留在系统中的错误，并清除它们(大量的测试和验证过程)，故障检测，基本容错方法和技术-继续，在一定时间后检测潜在故障。从故障发生到检测的错误延迟(MTTD)，平均错误延迟，平均修复时间(MTTR)，修复故障系统的预期时间，平均故障间隔时间(MTBF)，自修复系统中连续故障的预期时间，根据经验或可靠性函数计算，MTBF，MTTD，MTTR，在此期间，可能会有许多错误，故障，错误，检测到的错误，修复，故障，错误，时间，连续事件，基本容错方法

6、和技术-继续，冗余所有容错系统设计中采用的基本原则是在组件中提供冗余模块化系统的每个组件都被设计为模块化系统，具有明确定义的输入/输出接口，以实现成对的故障停止模块。时间正常停止并恢复正常，易失性存储器丢失，稳定存储器正常，故障停止模块不断检测自身。当检测到故障时，它会自动停止。优点是缩短了故障检测的等待时间。基本容错方法和技术-续，基本容错方法和技术-续，进程对通过软件模块的双工实现容错。两个进程，一个是主进程，另一个是备份进程，它们同时提供相同的服务。主进程和备份进程都是基于故障停止模块实现的。锁定步骤模式自动检查点设置模式状态检查点设置模式增量检查点设置模式持续进程对，基本容错方法和技术

7、-继续，面向会话的通信授权操作系统(但不是应用程序)中的消息服务器检测和控制那些丢失或重复的消息、分布式数据库管理系统的故障、事务故障、站点故障、介质故障、通信故障、本地可靠性协议、本地恢复管理器(LRM)每个站点维护本地事务的原子性和持久性体系结构。数据库存储在稳定的内存中。存储和访问稳定数据库的单位是页面缓冲区中的数据库。它被称为易变数据库。LRM只对易变数据库执行事务操作。对数据库的访问必须通过数据库缓冲区管理器进行刷新将数据库缓冲区页面强制写入稳定数据库、数据库缓冲区(易失性数据库)、本地恢复管理器、数据库缓冲区管理器、主内存、取出、刷新、读/写、稳定数据库、读/写、与缓冲区管理器的L

8、RM接口、本地可靠性协议-延续、恢复信息日志撤销重做原位更新阴影协议描述了原语的执行过程。开始传输登录读取LRM的命令执行过程首先读取传输的缓冲区。如果不存在，它会向缓冲区管理器发送一个提取命令。读取数据后，LRM将其交给调度程序写。如果它是在缓冲区中获得的，它将在那里被更新，否则它将向缓冲区管理器发送一个Fetch命令。将数据的前映像和修改后的后映像写入日志中止，并通过日志将事务结束记录到日志条目中。分布式可靠性协议，旨在维护在多个数据库上执行的事务的原子性和持久性。原语begin _ trans读、写、中止、提交。恢复命令类似于本地协议。读/写使用ROWA规则，分布式可靠性协议-续。可靠性

9、协议包括提交、终止和恢复协议。终止协议是分布式系统中一种独特的协议。如果一个站点失败，希望其他站点也停止交易。无阻塞协议允许传输在非故障站点终止，而无需等待故障站点恢复，这提高了传输的响应时间。如何在独立恢复协议失败时终止传输，而不求助于其他站点，可以减少恢复过程中需要交换的信息。分布式可靠性协议-续，终止协议和恢复协议之间的比较如果站点故障终止协议确定如何处理故障站点的故障事件，则恢复协议确定进程(协调器、参与者)在重新启动后恢复其状态的过程，并且终止协议采取必要的措施在网络重新连接时终止在不同网络间隔中执行的活动事务。恢复协议确保所有冗余数据库彼此一致， 2PC协议，能够保证分布式事务的原

10、子提交的简单协议，协调器，参与者，2PC-提交，协调器，参与者，2PC-中止，集中式2PC，协调器参与者，I，w，c，a，I. No abort *，prepared * commit，commit ack，apply-prepared，apply-prepared No，abort ack，f，ack *，ack *，mark : input message output message *=每个，当参与者进入“R”状态3360时，它必须已经获得所有资源，并且它只能根据当所有参与者都处于“R”状态时，协调者可以进入“C”状态，也就是说，它必须最终提交，2PC-继续，2PC讨论参与者可以单方面

11、撤销Trans，直到它作出肯定的提议(单方面暂停的时间是在它作出肯定的提议之前)。一旦参与者确定提交，参与者就处于就绪状态，根据协调器发送的消息类型，这可以直接转换为中止/提交。全局提交必须是由所有参与者做出的全局终止决定。当通信失败时，协调者和参与者可能处于平等状态。2PC-延续、2PC的虚假撤销和2PC协议的虚假提交提高了2PC的性能。在假撤销协议中，协调器不必等待参与者的确认消息。协调器和参与者之间传输的消息数量减少。在虚假提交协议中，准备不能写入日志，日志写入次数减少。2PC的恢复协议，参与者处于就绪状态(1a)。此时，当P重新启动时，通过识别日志中有就绪记录，但没有提交/中止记录，判

12、断其处于就绪状态。重新启动时，它会询问协调者或其他站点。协调员发布了准备命令。此时，恢复程序可以识别出日志中有一条准备记录，但没有“g-提交”/“g-中止”记录。当协调器发出全局恢复命令时，它会识别日志中的“g-提交”/“g-中止”记录。重传命令，2PC中的远程站点恢复问题，当p在收到相关命令之前回答“就绪”并失败时，需要在远程站点之间交换信息。获取信息的方法如下：如果此时c失败了，询问协调器，它将不会被应答，p将被阻止。重定向查询并询问其他P。此时，只要一个P接收到该命令，那么该P也可以获得一个命令(要求关于结束事务的信息必须保存在P站点)以将一组离线站点S(i)以离线方式分配给每个站点。当

13、我失败时，所有关于我的信息都会被发送到S(i)进行预订。Trans阻止并终止协议，Trans阻止可能在某个站点被终止(提交或撤销)的子事务。由于DDBS故障，必须等到故障恢复(它占用的资源没有释放)。当阻塞协议发生某种故障时，分布式传输处于阻塞状态。终止协议允许交易在失败的情况下正确结束。传输阻塞和终止协议-继续，2PC协议是终止协议的条件。至少有一个站点收到了结果命令(可以通知其他参与者)。没有一个参与者收到命令。并且只有协调器站点失败(可以创建新的协调器)，2pc阻塞，例如，coordp2rp3p3rrp4r、2PC的终止协议，使用超时技术，协调器超时在等待状态超时，并且可以确定“全局撤销

14、”在撤销/提交状态超时。重新发送“g-Abort”/“g-commit”的参与者超时在初始状态下超时，单边中止在就绪状态下超时，被阻止，等待设计终止协议，协调器超时，I，W，C，A，F，提交-应用程序-准备*，ack *-，ack *-，_ Anycommit，_ t _ commit，_ t _ abort *，无中止*，准备*提交*，t=超时，参与者超时，I，R，C，A，应用程序-准备，相当于结束状态， 应用-准备否、提交确认、中止确认的终止协议、2PC-继续，设计(假设参与者可以相互通信)假设Pi超时(Pi执行Ping)，并且其他Pj如下响应Pj处于初始状态，因此它们单方面中止并发回“建

15、议中止”以给Pi Pj一个Ready状态，这不能帮助Pi终止Pj处于提交或中止状态。 此时，Pi向Pj发送“建议提交”或“建议中止”Pi的响应，并且一些解释可以解释Pi收到了Pj的“建议取消”的回答。这时，皮死了，皮收到了Pj的“建议取消”的回答，但其他Pj都处于就绪状态。此时，pi仍中止，pi接收到处于就绪状态的pj。此时，没有参与者有足够的信息来正确终止交易。Pi接收Pj的“全局提交”或“全局中止”消息。Pi可以根据消息终止Pi接收一些pj的“全局提交”，而其他pj处于就绪状态。Pi可以提交，这不会阻塞协议，允许trans在非故障站点结束，而无需等待故障站点的恢复，从而提高Trans的响应时间。集中式2PC，协调器参与者，I，W，C，A、I，R，C，A、提交-应用-准备*，无中止*，准备*提交，提交确认，应用-准备准备，应用-准备无，确认*，标记：输入消息输出消息*=每个，2PC阻塞，示例：协调器p2rpp3rrp4r、非