PaxosCommit TLA+形式化验证

最新推荐文章于 2024-08-05 08:04:59 发布
最新推荐文章于 2024-08-05 08:04:59 发布
阅读量1k 收藏 1
点赞数
分类专栏: 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solotzg/article/details/80573012
版权

TLA+

  • RM:资源管理
  • Acceptors:提案接收者
  • Majority:多数Acceptors的集合
  • Ballot:提案的投票
  • rmState:RM状态
  • aState:Acceptor状态
  • msgs:消息的集合
----------------------------- MODULE PaxosCommit ----------------------------
EXTENDS Integers
CONSTANT RM, Acceptors, Majority, Ballot
VARIABLES rmState, aState, msgs
CONSTANT prepared, aborted, none, phase1a, phase1b, phase2a, phase2b, commit, 
    abort, working, committed

Max(s) == IF s # {} THEN CHOOSE x \in s: \A y \in s: x >= y
          ELSE -1

ASSUME 
    /\ Ballot \subseteq Nat
    /\ 0 \in Ballot
    /\ Majority \subseteq SUBSET Acceptors
    /\ \A ms1, ms2 \in Majority: ms1 \intersect ms2 # {}

Messages == 
    [type: {phase1a}, ins: RM, bal: Ballot \ {0}]
    \union
    [type: {phase1b}, ins: RM, bal: Ballot \union {-1}, mbal: Ballot, 
        val: {prepared, aborted, none}, acc: Acceptors ]
    \union
    [type: {phase2a}, ins: RM, bal: Ballot, val: {prepared, aborted} ]
    \union
    [type: {phase2b}, ins: RM, bal: Ballot, val: {prepared, aborted}, 
        acc: Acceptors ]
    \union
    [type: {commit, abort}]

PCTypeOK == 
    /\ rmState \in [RM -> {prepared, working, committed, aborted}]
    /\ aState \in [RM -> [Acceptors -> [mbal: Ballot, bal: Ballot \union {-1}, 
        val: {prepared, aborted, none} ]]]
    /\ msgs \subseteq Messages


PCInit == 
    /\ rmState = [r \in RM |-> working]
    /\ aState = [r \in RM |-> [ac \in Acceptors |-> [mbal |-> 0, bal |-> -1, 
        val |-> none ]]]
    /\ msgs = {}

Send(m) == msgs' = msgs \union {m}

RMPrepare(r) ==
    /\ rmState[r] = working
    /\ rmState' = [rmState EXCEPT ![r] = prepared]
    /\ Send([type |-> phase2a, ins |-> r, bal |-> 0, val |-> prepared])
    /\ UNCHANGED aState

RMChooseToAbort(r) ==
    /\ rmState[r] = working
    /\ rmState' = [rmState EXCEPT ![r] = aborted]
    /\ Send([type |-> phase2a, ins |-> r, bal |-> 0, val |-> aborted])
    /\ UNCHANGED aState

RMRcvCommitMsg(r) ==
    /\ [type |-> commit] \in msgs
    /\ rmState' = [rmState EXCEPT ![r] = committed]
    /\ UNCHANGED <<aState, msgs>>

RMRcvAbortMsg(r) ==
    /\ [type |-> abort] \in msgs
    /\ rmState' = [rmState EXCEPT ![r] = aborted]
    /\ UNCHANGED <<aState, msgs>>

Phase1a(bal, r) ==
    /\ Send([type |-> phase1a, ins |-> r, bal |-> bal])
    /\ UNCHANGED <<rmState, aState>>

Phase2a(bal, r) ==
    /\ ~\E m \in msgs: 
        /\ m.type = phase2a
        /\ m.bal = bal
        /\ m.ins = r
    /\ \E ms \in Majority:
        LET 
            mset == {m \in msgs: 
                /\ m.type = phase1b
                /\ m.ins = r
                /\ m.mbal = bal
                /\ m.acc \in ms}
            maxbal == Max({m.bal: m \in mset})
            val == 
                IF maxbal = -1
                THEN aborted
                ELSE (CHOOSE m \in mset: m.bal = maxbal).val
        IN
            /\ \A ac \in ms: \E m \in mset: m.acc = ac
            /\ Send([type |-> phase2a, ins |-> r, bal |-> bal, val |-> val])
    /\ UNCHANGED <<rmState, aState>>

PCDecide ==
    /\
        LET
            Decided(r, v) ==
                \E b \in Ballot, ms \in Majority: 
                    \A ac \in ms: [type |-> phase2b, ins |-> r, bal |-> b,
                         val |-> v, acc |-> ac] \in msgs
        IN
            \/  /\ \A r \in RM: Decided(r, prepared)
                /\ Send([type |-> commit])
            \/  /\ \E r \in RM: Decided(r, aborted)
                /\ Send([type |-> abort])
    /\  UNCHANGED<<rmState, aState>>

Phase1b(acc) == 
    /\ \E m \in msgs:
        /\ m.type = phase1a
        /\ aState[m.ins][acc].mbal < m.bal
        /\ aState' = [aState EXCEPT ![m.ins][acc].mbal = m.bal]
        /\ Send([type |-> phase1b, ins |-> m.ins, mbal |-> m.bal, 
            bal |-> aState[m.ins][acc].bal, val |-> aState[m.ins][acc].val, 
            acc |-> acc])
    /\ UNCHANGED rmState

Phase2b(acc) ==
    /\ \E m \in msgs:
        /\ m.type = phase2a
        /\ aState[m.ins][acc].mbal <= m.bal
        /\ aState' = [aState EXCEPT ![m.ins][acc].mbal = m.bal,
                                    ![m.ins][acc].bal = m.bal,
                                    ![m.ins][acc].val = m.val]
        /\ Send([type |-> phase2b, ins |-> m.ins, bal |-> m.bal, 
            val |-> m.val, acc |-> acc])
    /\ UNCHANGED rmState

PCNext == 
    \/ \E r \in RM:
        \/ RMPrepare(r)
        \/ RMChooseToAbort(r)
        \/ RMRcvCommitMsg(r)
        \/ RMRcvAbortMsg(r)
    \/ \E bal \in Ballot \ {0}, r \in RM: Phase1a(bal, r) \/ Phase2a(bal, r)
    \/ PCDecide
    \/ \E acc \in Acceptors: Phase1b(acc) \/ Phase2b(acc)

PCSpec ==
    PCInit /\ [][PCNext]_<<rmState, aState, msgs>>

THEOREM PCSpec => PCTypeOK

=============================================================================
  • 具体的Paxos算法描述和说明见 Wikipedia ,上述例子为完整的Paxos决议并最终Commit的抽象描述,用于验证算法中约束的正确性和安全性但不保证活性。网络丢包延迟重复之类的情况不显示表示(所有消息都留在msgs中,由程序选用)。
  • Leader的选举被弱化,默认当一致性达成后则直接产生Leader并进行后续操作,Leader发出的消息均广播,详见PCDecide
  • RM有4种状态:working, prepared, committed, aborted。状态初始化为working,提案达成后的提交同Two-phase Commit,详见PCDecide:所有的RM都prepared,则Commit,有一个abortedAbort
  • 当超时且未形成提案,发起新的一轮投票,同Phase1a
  • Acceptor收到含有phase1a的消息后,仅投票给最大bal,在发送给RM的消息中包含已被接受提案的bal和val,同Phase1b
  • 当某个bal被大多数Acceptor接受后,则通知所有Acceptor接受提案,同Phase2a。其中所选出的val要保证在bal下的安全性,即满足论文中的P2c,也是算法的核心。
  • Phase2b中,Acceptor接受最大bal的提案。

TLA Toolbox 运行参数

Ballot <- {0,1,2}
Majority <- {{a1, a2}, {a2, a3}, {a1, a3}}
Acceptors <- [ model value ] <symmetrical>{a1, a2, a3}
RM <- [ model value ] <symmetrical>{r1, r2}
prepared, aborted, none, phase1a, phase1b, phase2a, phase2b, commit, abort, working, committed <- [ model value ]

总结

  • 最原始的Paxos是一种较为抽象的共识算法,涵盖了包括Proposer和Acceptor在任意时刻休眠或苏醒的情况,且只要时间足够那么最终定能达成一致,是分布式共识问题的一种相对完美的解决方案。但该算法仅能对单个提案达成共识,且相对偏理论,因此无法直接套用在现实问题中。
  • 目前在工程实践上普遍强化了Leader的作用,如Multi-PaxosRaft
deprecated_tzg
关注
专栏目录
形式化验证工具TLA+:程序员视角的入门之道
阿里云技术
10-26 587
一 引言 女娲是飞天分布式系统中提供分布式协同的基础服务,支撑着阿里云的计算、网络、存储等几乎所有云产品。在女娲分布式协同服务中,一致性引擎是核心基础模块,支持了Paxos,Raft,EPaxos等多种一致性协议,根据业务需求支撑不同业务状态机。如何保证一致性库的正确性是一个很大挑战,我们引入了TLA+、Jepsen等工具保证一致性库的正确性。本文即从程序员视角介绍形式化验证工具TLA+。 从理论上证明一个程序或者算法的正确性往往是困难的,工程中一般使用测试来发现问题,但再多的测试也无法保证覆盖到了..
TLA+的学习
Maybe_do_it的博客
10-27 1180
简介 TLA+ 是一门形式规格说明语言(formal specification language),主要用来验证系统的设计和算法的正确性 小example: 问题:您正在为银行编写软件。你有 Alice 和 Bob 作为客户,每个人的账户里都有一定数量的钱。Alice想寄一些钱给Bob。你如何建模?假设您只关心他们的银行账户 --- MODULE transfer ---- EXTENDS Naturals, TLC (* --algorithm transfer variables alice_acc
Paxos一致性协议
红目香薰
03-07 342
Paxos问题指分布式系统中存在故障fault,但不存在恶意corrupt节点场景(消息可能丢失但不会造假)下的共识达成(Consensus)问题。 Paxos是第一个被证明的共识算法,原理基于两阶段提交并进行扩展。算法中将节点分为三种类型: 倡议者proposer:提交一个提案,等待大家批准为结案,往往是客户端担任。 接受者acceptor:负责对提案进行投票,往往服务器担任。提议超过半数的接受者投票及被选中。 学习者learner:被告知提案结果,并与之统一,不参与投票过程。客户端和服务端都可担
使用TLA+形式化验证Go并发程序
最新发布
TonyBai
08-05 720
Writing is nature's way of letting you know how sloppy your thinking is - Guindon在2024年6月份举办的GopherCon Europe Berlin 2024[1]上,一个叫Raghav Roy的印度程序员(听口音判断的)分享了Using Formal Reasoning to Build Concurrent G...
Paxos到Zookeeper(二)Two-Phase Commit & Three-Phase Commit
Qbit编程学习笔记
10-23 227
两阶段提交简单来看就是coordinator向participant发出了两次命令,第一次是prepare,第二次是commit或者rollback。其中第一次的prepare相当于一次预演,在确保大家都能成功的情况下才会提交,从而避免了大家不一致的情况。为了让预演时成功就能在第二阶段成功,这要求participant在prepare后不能再修改。 三阶段提交时coordinator向participant发出了三次命令,第一次是canCommit,第二次是PreCommit或者abort,第三个是doC
Paxos算法
qq_51580006的博客
03-09 1108
Paxos算法详解
TLA+是什么
软件工程小施同学 的专栏
04-08 1413
对于一套系统的设计,通常我都是想好了,然后直接捋起袖子写代码了。 写完了,在开始加很多 test 来保证它的正确性。 但其实,我并不能保证设计是完全正确的。也就是说,我的实现满足了该系统的需求,但也有可能在一些 corner case 上面并没有考虑周全。 同时, 虽然后面可以写很多 test,但并不一定能 cover 到所有的分支。 所以,为了更好的确保设计的正确性,我们需要使用 TLA+ 或者其他类似的工具。 TLA+ 是一门形式规格说明语言(formal specification l.
PlusCal-Examples:兰波特 TLA+ 的算法语言 PlusCal 中的算法示例
06-12
这些文件是在 TLA+ 工具箱中创建的,因此大多数文件都是在工具箱中运行和使用 TLC 算法验证检查器的支持文件。 用于审核的重要(非自动生成)文件是以.tla结尾的.tla ,例如Euclid/Euclid.tla和HourClock/...
vscode-tlaplus:TLA +语言对Visual Studio Code的支持
04-29
我们欢迎所有形式的捐助! 随时提交错误,提出改进建议,提出问题,发送其他反馈。 如果您决定参与并编写一些代码,则本文档将为您提供有用的信息: CONTRIBUTING.md 。 TLA +资源 如果您不熟悉TLA + ,但想了解它...
tla-rust:在TLA +的协助下,在Rust中编写正确的无锁和分布式状态系统
02-05
TLA+(Temporal Logic of Actions,动作时态逻辑)是Leslie Lamport开发的一种形式化方法,用于描述和验证并发系统的行为。它提供了一种强大的语言,能够精确地表述系统的规格,并借助模型检查工具进行验证,确保...
TLA+:将简单C程序转换为TLA+程序
girl_is_on_tiptoe的博客
05-19 655
将简单C程序转换为TLA+程序
TLA+ 术语解释及中文翻译
01-07
state 状态 A state is an assignment of values to variables. 一个状态就是一组为变量赋值的操作。 state function 状态函数 A state function is an ordinary [removed]one with no ′’′ or □\square□) that can contain variables and constants. 一个状态函数就是一个普通的表达式,包含变量和常量,但不包含 ′’′ 和 □\square□操作符. state predicate 状态谓词 A state predica
分布式一致性算法-Paxos翻译和注解
Mr.H的专栏
02-28 1132
Paxos是解决不可靠处理器(不可靠是指处理器可能故障)网络中一致性问题(consensus)的一个协议族。一致性(或者共识)是在一组参与者之间对一个结果达成共识的过程。当参与者或者它们的交互媒介可能发生故障的时候,这个问题变得复杂。
通过例子学TLA+(一)-- HourClock
adwen2009的博客
01-13 1171
前言 刚接触TLA+,将学习过程中的理解整理记录下来,用于加深理解和备忘。有对TLA+感兴趣的可以私信我,一起学习。 TLA+简介 TLA+ 是一门形式规格说明语言(formal specification language),主要用来验证系统的设计和算法的正确性。它可以用来对几乎任何形式的离散系统进行精确的、正式的描述,特别适合于描述异步系统。 TLA+提供了一个工具用来编写TLA+,同时提供了语法检查,参数设置,程序运行等功能,该工具就是TLA+ Toolbox,下载路径为:https://github
通过例子学TLA+(八)--表达式
adwen2009的博客
02-10 629
表达式 在之前的例子中,已经多次用到了表达式,常见的表达式中会用到 大于,小于,等于,不等于等这样条件判断。还有一些其他的用法,比如逻辑连接,IF-ELSE 等 逻辑连接 逻辑连接在之前的例子中是用过的,主要是 /\ (and) ,/ (or),用来将表达式连接起来,有个点需要注意的是,逻辑连接符是空格敏感的,如果以缩进方式开始连接,则TLA+将其视为前一表达式的子表达式。例如 /\ TRUE \/ TRUE /\ FALSE \* 相当于 (TRUE \/ TRUE) /\ FALSE /
用精确的数学语言防止设计 Bug,Linux 基金会重磅推出 TLA+ 基金会!
CSDN资讯
04-24 2901
整理 | 陈静琳 责编 |屠敏出品 | CSDN(ID:CSDNnews)2023 年 4 月 21 日,非营利性组织Linux基金会于宣布成立 TLA+ 基金会,其中创始成员包括亚马逊、甲骨文和微软。与此之前,该组织通过开源实现大规模创新,现成立 TLA+ 基金会以促进 TLA+ 编程语言的采用及社区的发展。TLA+ 是几十年前由计算机科学的开拓者 Leslie Lamport(现为...
通过例子学TLA+(十二)-- 函数与实例
adwen2009的博客
02-13 490
函数和实例 函数 TLA+中除了 数字,字符串,布尔值,模型值 4种基本类型外,还有两种复杂类型,分别为集合和函数。函数构成了所有实用复杂类型的基础。 函数的形式看起来跟之前介绍过的操作符是一样的。函数定义的两种方式: Function == [s \in S |-> foo] \* 这里foo可以是任何方程式。注意这里用的是|->,不是: Function[s \in S] == foo 在函数定义中可以使用无限集合,如 Doubles == [n \in Nat |-> 2*n
通过例子学TLA+(七)--操作符
adwen2009的博客
02-10 543
Operator TLA+中的操作符类似于其他编程语言中的函数或者宏定义,使用 == 来定义,例如 Five == 5 \* 无参数时不用加括号 Sum(x,y) == x + y SumwithFive(x,y) == Sum(x,y) + Five \* 定义之后就可以随意使用 高阶用法 根据使用需求,可以在定义中使用其他操作符 来达到类似于其他语言中函数指针的功能。 Sum(a,b) == a + b Do(op(_,_),a,b) == op(a,b) \* 注意实际调用的
DoRiS实时通信协议的TLA+规范与验证:提升系统可靠性
为此,论文采用了形式化方法作为设计工具,特别是利用TLA+语言及其配套的模型检查器TLC。TLA+是一种强大的建模语言,能够帮助设计者精确描述协议的各个组件、规则和交互行为,从而避免因人为错误导致的问题。 文章...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值