分布式事务解决方案

引言

在上一篇文章的BASE理论中提到了最终一致性，其实分布式事务的讨论主要就是聚焦于强一致性和最终一致性。

分布式事务就是为了解决微服务架构（形式都是分布式系统）中不同节点之间的数据一致性问题。这个一致性问题本质上解决的也是传统事务需要解决的问题，即一个请求在多个微服务调用链中，所有服务的数据处理要么全部成功，要么全部回滚。当然分布式事务问题的形式可能与传统事务会有比较大的差异，但是问题本质是一致的，都是要求解决数据的一致性问题。

下面我们从微服务开始来了解一下分布式事务和一些最终一致性的解决方案。

微服务

微服务发展

微服务倡导将复杂的单体应用拆分为若干个功能简单、松耦合的服务，这样可以降低开发难度、增强扩展性、便于敏捷开发。当前被越来越多的开发者推崇，很多互联网行业巨头、开源社区等都开始了微服务的讨论和实践。

微服务落地存在的问题

虽然微服务现在如火如荼，但对其实践其实仍处于探索阶段。很多中小型互联网公司，鉴于经验、技术实力等问题，微服务落地比较困难。

如著名架构师Chris Richardson所言，目前存在的主要困难有如下几方面：

1. 单体应用拆分为分布式系统后，进程间的通讯机制和故障处理措施变的更加复杂。
2. 系统微服务化后，一个看似简单的功能，内部可能需要调用多个服务并操作多个数据库实现，服务调用的分布式事务问题变的非常突出。
3. 微服务数量众多，其测试、部署、监控等都变的更加困难。

随着RPC框架的成熟，第一个问题已经逐渐得到解决。例如springcloud可以非常好的支持restful调用，dubbo可以支持多种通讯协议。

对于第三个问题，随着docker、devops技术的发展以及各公有云paas平台自动化运维工具的推出，微服务的测试、部署与运维会变得越来越容易。

而对于第二个问题，现在还没有通用方案很好的解决微服务产生的事务问题。分布式事务已经成为微服务落地最大的阻碍，也是最具挑战性的一个技术难题。

分布式事务中相关概念

刚性事务：满足ACID理论的事务

柔性事务：满足BASE理论（基本可用，最终一致）的事务

XA协议：全局事务管理器与资源管理器的接口。XA是由X/Open组织提出的分布式事务规范。该规范主要定义了全局事务管理器和局部资源管理器之间的接口。主流的数据库产品都实现了XA接口。XA接口是一个双向的系统接口，在事务管理器以及多个资源管理器之间作为通信桥梁。之所以需要XA是因为在分布式系统中从理论上讲两台机器是无法达到一致性状态的，因此引入一个单点进行协调。由全局事务管理器管理和协调的事务可以跨越多个资源和进程。全局事务管理器一般使用XA二阶段协议与数据库进行交互。

幂等：重复调用多次产生的业务结果与调用一次产生的结果相同。

分布式事务典型方案

在分布式系统中，要实现分布式事务，现有解决方案无外乎那几种，下面我们就来一一了解一下。

两阶段提交(2PC)

两阶段提交缩写2PC（two-phase commit）,是一个非常经典的强一致、中心化的原子提交协议。这里所说的中心化是指协议中有两类节点：一个中心化协调者节点（coordinator）和N个参与者节点（partcipant）。

1. 第一阶段表决阶段(投票阶段)：所有参与者都将本事务能否成功的信息反馈发给协调者。

   • 事务询问：协调者向所有的参与者发送事务内容，询问是否可以执行事务提交操作，并开始等待各参与者的响应
   • 执行事务并反馈：各参与者节点执行事务操作，并将Undo和Redo信息记入事务日志中，如果参与者成功执事务操作，就反馈给协调者Yes响应，表示事物可以执行，如果没有成功执行事务，就反馈给协调者No响应，表示事务不可以执行

2. 第二阶段执行阶段：协调者根据所有参与者的反馈，通知所有参与者，步调一致地在所有分支上提交或者回滚。
   假如协调者从所有的参与者或得反馈都是Yes响应，那么就会执行事务提交

   • 发送提交请求：协调者向所有参与者节点发出Commit请求
   • 事务提交：参与者接受到Commit请求后，会正式执行事务提交操作，并在完成提交之后放弃整个事务执行期间占用的事务资源
   • 反馈事务提交结果：参与者在完成事物提交之后，向协调者发送ACK消息
   • 完成事务：协调者接收到所有参与者反馈的ACK消息后，完成事务

   假如任何一个参与者向协调者反馈了No响应，或者在等待超市之后，协调者尚无法接收到所有参与者的反馈响应，那么就中断事务。

   • 发送回滚请求：协调者向所有参与者节点发出Rollback请求
   • 事务回滚：参与者接收到Rollback请求后，会利用其在阶段一中记录的Undo信息执行事物回滚操作，并在完成回滚之后释放事务执行期间占用的资源。
   • 反馈事务回滚结果：参与则在完成事务回滚之后，向协调者发送ACK消息
   • 中断事务：协调者接收到所有参与者反馈的ACk消息后，完成事务中断

存在的问题

• 同步阻塞：对于任何一次指令必须收到明确的响应，才会继续做下一步，否则处于阻塞状态，占用的资源被一直锁定，不会被释放。
• 单点故障：一旦协调者出现故障，整个系统不可用
• 数据不一致：在阶段二，如果事务管理器只发送了部分 commit 消息，此时网络发生异常，那么只有部分参与者接收到 commit 消息，也就是说只有部分参与者提交了事务，使得系统数据不一致。
• 不确定性：当协事务管理器发送 commit 之后，并且此时只有一个参与者收到了 commit，那么当该参与者与事务管理器同时宕机之后，重新选举的事务管理器无法确定该条消息是否提交成功。

三阶段提交(3PC)

三阶段提交协议（3PC 协议）是两阶段提交协议的改进版本。它通过超时机制解决了阻塞的问题，并且把两个阶段增加为三个阶段：

1. 第一阶段询问阶段(CanCommit)：协调者询问参与者是否可以完成指令，协调者只需要回答是还是不是，而不需要做真正的操作，这个阶段参与者在等待超时后会自动中止。
2. 第二阶段准备阶段(PreCommit)：如果在询问阶段所有的参与者都返回可以执行操作，协调者向参与者发送预执行请求，然后参与者写 redo 和 undo 日志，锁定资源，执行操作，但是不提交操作；如果在询问阶段任何参与者返回不能执行操作的结果，则协调者向参与者发送中止请求，这里的逻辑与两阶段提交协议的的准备阶段是相似的，这个阶段参与者在等待超时后会自动提交。
3. 第三阶段提交阶段(Commit)：如果每个参与者在准备阶段返回准备成功，也就是预留资源和执行操作成功，协调者向参与者发起提交指令，参与者提交资源变更的事务，释放锁定的资源；如果任何一个参与者返回准备失败，也就是预留资源或者执行操作失败，协调者向参与者发起中止指令，参与者取消已经变更的事务，执行 undo 日志，释放锁定的资源，这里的逻辑与两阶段提交协议的提交阶段一致。

询问阶段可以确保尽可能早的发现无法执行操作而需要中止的行为，但是它并不能发现所有的这种行为，只会减少这种情况的发生。
如果在询问阶段等待超时，则自动中止；如果在准备阶段之后等待超时，则自动提交。这也是根据概率统计上的正确性最大。

TCC方案

TCC（Try-Confirm-Cancel）又称补偿事务。其核心思想是：“针对每个操作都要注册一个与其对应的确认和补偿（撤销操作）”。它分为三个操作：

1. Try操作：主要是对业务系统做检测及资源预留。
2. Confirm操作：确认执行业务操作。(需要保证幂等性)
3. Cancel操作：取消执行业务操作。(需要保证幂等性)

事务发起方向事务协调器发起事务请求，事务协调器调用所有事务参与者的 try 方法完成资源的预留，这时候并没有真正执行业务，而是为后面具体要执行的业务预留资源，这里完成了一阶段。
如果事务协调器发现有参与者的 try 方法预留资源时候发现资源不够，则调用参与方的 cancel 方法回滚预留的资源，需要注意 cancel 方法需要实现业务幂等，因为有可能调用失败（比如网络原因参与者接受到了请求，但是由于网络原因事务协调器没有接受到回执）会重试。
如果事务协调器发现所有参与者的 try 方法返回都 OK，则事务协调器调用所有参与者的 confirm 方法，不做资源检查，直接进行具体的业务操作。
如果协调器发现所有参与者的 confirm 方法都 OK 了，则分布式事务结束。
如果协调器发现有些参与者的 confirm 方法失败了，或者由于网络原因没有收到回执，则协调器会进行重试。这里如果重试一定次数后还是失败，会做事务补偿。

与2PC协议比较 ，TCC拥有以下特点：

• 位于业务服务层而非资源层 ，由业务层保证原子性
• 没有单独的准备(Prepare)阶段，降低了提交协议的成本
• Try操作 兼备资源操作与准备能力
• Try操作可以灵活选择业务资源的锁定粒度，而不是锁住整个资源，提高了并发度

当然，TCC需要较高的开发成本，每个子业务都需要有响应的comfirm、Cancel操作，即实现相应的补偿逻辑。

本地消息表

本地消息表这个方案最初是 ebay 架构师 Dan Pritchett 在 2008 年发表给 ACM 的文章。该方案中会有消息生产者与消费者两个角色，假设系统 A 是消息生产者，系统 B 是消息消费者，其大致流程如下：

1. 当系统 A 被其他系统调用发生数据库表更操作，首先会更新数据库的业务表，其次会往相同数据库的消息表中插入一条数据，两个操作发生在同一个事务中
2. 系统 A 的脚本定期轮询本地消息往 mq 中写入一条消息，如果消息发送失败会进行重试
3. 系统 B 消费 mq 中的消息，并处理业务逻辑。如果本地事务处理失败，会在继续消费 mq 中的消息进行重试，如果业务上的失败，可以通知系统 A 进行回滚操作。
   本地消息表实现的条件：

• 消费者与生成者的接口都要支持幂等
• 生产者需要额外记录消息日志
• 需要提供补偿逻辑，如果消费者业务失败，需要生产者支持回滚操作
  容错机制：
• 步骤 1 失败时，事务直接回滚
• 步骤 2、3 写 mq 与消费 mq 失败会进行重试
• 步骤 3 业务失败系统 B 向系统 A 发起事务回滚操作

此方案的核心是将需要分布式处理的任务通过消息日志的方式来异步执行。消息日志可以存储到本地文本、数据库或消息队列，再通过业务规则自动或人工发起重试。人工重试更多的是应用于支付场景，通过对账系统对事后问题的处理。

基于可靠消息

如上图，大致流程如下：

1. A 系统先向 mq 发送一条 prepare 消息，如果 prepare 消息发送失败，则直接取消操作
   如果消息发送成功，则执行本地事务
2. 如果本地事务执行成功，则向 mq 发送一条 confirm 消息，如果发送失败，则发送回滚消息
3. B 系统定期消费 mq 中的 confirm 消息，执行本地事务，并发送 ack 消息。如果 B 系统中的本地事务失败，会一直不断重试，如果是业务失败，会向 A 系统发起回滚请求
4. mq 会定期轮询所有 prepared 消息调用系统 A 提供的接口查询消息的处理情况，如果该 prepare 消息本地事务处理成功，则重新发送 confirm 消息，否则直接回滚该消息

该方案与本地消息最大的不同是去掉了本地消息表，其次本地消息表依赖消息表重试写入 mq 这一步由本方案中的轮询 prepare 消息状态来重试或者回滚该消息替代。其实现条件与余容错方案基本一致。目前市面上实现该方案的只有阿里的 RocketMq。

最大努力通知

最大努力通知是最简单的一种柔性事务，适用于一些最终一致性时间敏感度低的业务，且被动方处理结果 不影响主动方的处理结果。

这个方案的大致意思就是：

系统 A 本地事务执行完之后，发送个消息到 MQ；
这里会有个专门消费 MQ 的服务，这个服务会消费 MQ 并调用系统 B 的接口；
要是系统 B 执行成功就 ok 了；要是系统 B 执行失败了，那么最大努力通知服务就定时尝试重新调用系统 B, 反复 N 次(逐步拉大通知间隔)，最后还是不行就放弃。

系统A应该提供一个查询执行情况接口，以供系统B校对结果和执行补偿操作。

总结

到这里分布式事务了解得差不多了，分布式事务本身是一个技术难题，是没有一种完美的方案应对所有场景的，具体还是要根据业务场景去抉择。

参考资料

详谈式最终一致性
分布式事务中常见的三种解决方案
微服务分布式事务4种解决方案实战