CAP理论

1. 初识 CAP 理论

  CAP 理论是加州理工大学伯克利分校的 Eric Brewer 教授在 2000 年 7 月的 ACM PODC 会议上首次提出的，它是 Eric Brewer 在 Inktomi 期间研发搜索引擎、分布式 Web 缓存时得出的关于数据一致性（ C：Consistency ）、服务可用性（ A：Availability ）、分区容错性（ P：Partition-tolerance ）的一个著名猜想：

It is impossible for a web service to provide the three following guarantees :
Consistency, Availability and Partition-tolerance.

  在这个猜想提出的 2 年以后，来自麻省理工学院的 Seth Gilbert 和 Nancy Lynch 从理论上证明了 Eric Brewer 教授的 CAP 猜想是成立的，从此，CAP 理论在学术上正式成为了分布式领域公认的定理，并深刻影响着分布式系统的发展。

  证明过程可以参考论文《Brewer’s conjecture and the feasibility of consistent, available, partition-tolerant web services》

2. CAP 理论

CAP 理论对分布式系统的特性做了高度抽象，形成了三个指标：

• 一致性（Consistency）
• 可用性（Availability）
• 分区容错性（Partition Tolerance）

2.1 一致性（C）

  一致性是当访问多个节点时能得到同样的值。
  一致性是指强一致性（ Strong Consistency ），又叫线性一致性（ Linearizable Consistency ），它要求多节点组成的分布式系统，能像单节点一样运作，如果一个写操作返回成功，那么之后的读请求都必须读到这个新数据；如果返回失败，那么所有的读操作都不能读到这个数据。
  备注：一致性中除了强一致性之外，还有其他的一致性级别，比如序列一致性（ Sequential Consistency ）和最终一致性（ Eventual Consistency ）等。

2.2 可用性（ A ）

  可用性指的是要求系统提供的服务必须处于 100% 可用的状态，对于用户的每一个操作请求，系统总能够在有限的时间内返回结果。
  可用性意味着每个请求都能获得相应。

2.2.1 100% 可用

  100% 可用，既不是 99% 可用，也不是 99.99% 可用，它说的是系统必须完全可用，不允许任何不可用的情况出现，这是一个非常理想的模型。

2.2.2 有限时间内

  有限时间内，它指的是对于客户端的一个请求，系统必须在指定的时间内返回对应的请求结果，如果超过了这个时间，系统就被认为是不可用的。一般来说，“有限时间内”是系统在设计的时候，就设定好的系统运行指标，不同的系统之间会有非常大的差别。

2.2.3 返回结果

  返回结果，这是指系统在完成对客户端请求的处理后，必须返回一个正常的响应结果。客户端可以根据这个响应结果，来明确判断这个请求执行成功还是失败，而不是返回一个让用户无法判断的不正常的响应结果。

2.3 分区容错性（ P ）

  分区容错性指的是集群中的某些节点在无法联系后，集群整体还能继续进行服务的能力。
  分区指的是在整个分布式系统中，因为各种网络原因，系统被分隔成多个单独的部分，它不仅包含我们通常说的网络分区，也包含因为网络丢包导致的网络不通的情况。并且，这里说的因为网络丢包导致网络不通的情形，还包含节点宕机的场景，由于系统的其他机器不知道某个节点宕机了，只知道与宕机节点的网络是不通的，所以当节点宕机发生时，其他节点发往宕机节点的包也将丢失。

  在现实的分布式系统中，我们面对的就是一个不可靠的网络和有一定概率宕机的设备，这两个因素都会导致分区出现，因此在分布式系统实现中，分区容错性 P 是一个必须项，而不是可选项。
  在分布式系统中，如果我们的设计放弃分区容错性，就相当于我们认为节点之间的网络通信永远是好的，那么我们对节点之间的远程调用的结果，就不需要处理超时、网络地址不可达等网络层错误了。但是这样一来，看似是简化了系统设计，实际却忽视了超时等网络错误的情况。当它们出现后，系统的行为就是未定义的了，可能会出现崩溃，或者是脏数据的问题。

3. CAP 不可能三角

  CAP 不可能三角说的是对于一个分布式系统而言，一致性（Consistency）、可用性（Availability）、分区容错性（Partition Tolerance）3 个指标不可兼得，只能在 3 个指标中选择 2 个。该理论已经得到了数学证明，开篇已有说明。
  在分布式系统中，P是必须的，如果没有P那就是一个单独的进程。CAP 理论更合适的描述是：在满足分区容错的前提下，没有算法能同时满足数据一致性和服务可用性。其中，数据一致性（ C ）指的是数据的强一致性，服务的可用性（ A ）指的是服务 100 % 的可用性，这才是 CAP 理论论证模型的关键点。
  需要说明的是，当系统正常运行的时候，三者是可以同时满足的，只有系统出现了故障，CAP才不能同时满足。

4. CAP理论重新思考与理解

  CAP三者不能同时满足，并不代表我们就放弃缺少的部分，而是尽量减少其影响。

4.1 牺牲一致性（C）

  放弃一致性（C），根据CAP理论我们可以设计一个AP系统。C关键词：强一致性。意味着当出现网络分区，服务无法快速给出正确的反馈；A关键词：100% 可用，有限时间内，返回结果。由于放弃了C，我们可以快速返回一个结果，当前为AP系统。这个结果当前不一定是正确的，但我们可以尽量减少这个影响。

  对于数据的一致性（ C ） ，除了 CAP 理论要求的强一致性外，还有单调一致性、会话一致性和最终一致性等。如果我们的系统设计选择了 AP 模型，在数据一致性方面，虽然我们无法实现强一致性，但是我们也不要全部放弃，可以努力去实现更高的一致性级别，为系统的服务提供更好的抽象。

  假设我们设计一个 AP 模型的分布式系统，正常情况下，如果依据 CAP 理论，在系统设计时，我们需要放弃数据的一致性。但是，我们可以从另一个思路来设计，在系统没有出现网络分区的时候，这个分布式系统应该设计为强一致性的。
  如果出现网络分区了，我们可以根据系统情况，有选择并且精心设计地降低系统的一致性级别。比如，从强一致性降低到单调一致性或会话一致性等，这样的设计，既符合 CAP 理论依据，也为系统提供了更好的一致性级别，特别是在网络分区的时候。

4.2 牺牲可用性（A）

  放弃可用性（A）,意味着我们不保证服务100%可用，例如出现网络分区，我们可以等待网络恢复正常，之后再给调用方返回正确的结果，这样的系统为CP系统。

  我们的日常工作中，几乎没有见过 100% 可用的服务。可用性指标是在 0 到 100% 之间连续分布的，其实一个 100% 可用性的服务和一个 99.9999% 可用性的服务之间并没有多大的差别，如果我们的服务能实现 99.9999% 的可用性，哪怕它不符合 CAP 理论的可用性，也是符合我们工作中对可用性的要求的。
  所以，在我们的系统选择了 CP 模型的时候，对于可用性（ A ），我们永远无法达到 100%，但是按业务要求不断优化，是我们努力的目标。

  具体的实践，例如基于 Raft 算法实现的 etcd，对可用性进行重新思考的实践。如果依据 CAP 理论来划分的话，etcd 属于 CP 模型。
  而在 etcd 系统的实现中，如果网络没有出现分区，整个系统是 100% 可用的；就算网络出现分区了，也不会有整个 etcd 系统都不可用的情况。在这时，超过半数 etcd 实例所在的网络分区一侧，系统是正常可用的，虽然网络分区的另一侧是不可用的，但是整个 etcd 系统的可用性依然可能超过 50% 。

4.3 牺牲分区容错性（ P ）

  为什么没有CA系统呢？嗯，我们应如何牺牲分区容忍性呢？如果系统没有分区容忍性，就不能跨网络运行。换句话说，需要在本地运行一个单独的进程。所以，CA系统在分布式系统中根本是不存在的。——《微服务设计，第11章11.3》

  我们来分析一下分区容错性 P 的问题。在分布式系统中，节点之间必须通过网络来通信，可是网络可能会丢包和中断，节点也可能会宕机，这样的情况就要求我们在系统设计的时候，必须做好系统的分区容错处理。
  但是，系统出现分区的情况非常少见，所以我们可以来试想一下，在网络不出现分区的时候，我们将数据强一致性和 100% 的可用性都选择，等到网络出现分区的时候，系统再选择放弃部分的可用性或者降低数据一致性的级别，这种处理方式是否可行呢？
  其实这样的处理方式是可以的，在上面对可用性和一致性的重新思考与理解中，所举的例子都是按这个方式来处理的，它实际是将 CAP 理论的选择，推迟到出现网络分区的时候，而不是系统一启动就进行 CAP 的选择。这样可以大大提高系统的可用性和数据一致性，并且系统依然能容忍网络分区。

  另外，关于 CAP 理论的重新思考，特别需要说明的一个例子是 Google 的 Spanner ，Spanner 是一个全球分布式数据库，但是 Google 却宣称 Spanner 是一个 CA 系统，这是不是和 CAP 理论的说法产生了矛盾呢？
  其实并不矛盾，Spanner 虽然是一个分布式系统，但是它运行在 Google 的内部网络中，并且拥有大量冗余的网络链路、处理相关故障的架构规划、以及非常细致的运维，以此来确保系统的可用性超过了 99.999%。虽然不能达到 100%，但是对于使用者来说，和可用性 100% 几乎没有任何区别，所以 Spanner 就是一个 CA 系统。
  而且，在网络出现分区的时候，Spanner 会选择一致性而不是可用性，这个时候 CAP 理论依然会生效。所以对于 CAP 理论的重新思考，总而言之就是一句话：CAP 理论给我们定义了系统的设计边界，虽然想要设计出超过边界的系统是徒劳的，但是我们却可以无限逼近边界，并且把它作为我们设计系统的目标。

4.4 总结

  对于 CAP 理论，我们不会简单地三选二或者二选一。对于 AP 模型的系统，我们会努力去提升数据一致性的级别，而对于 CP 模型的系统，我们会努力去提升系统可用性的级别。
  由于系统分区的情况非常少见，我们可以在网络不出现分区的时候，将 A 和 C 都选择上；在网络出现分区的时候，再选择放弃部分的可用性，或者降低数据一致性的级别，通过推迟 CAP 选择来提高系统的可用性和数据一致性。

参考：
《极客时间——深入浅出分布式技术原理》
《极客时间——分布式协议与算法实战》
《微服务设计》