三地五中心部署同步示例
- 三地:城市A、城市B、城市C(3个不同的地理位置)。
- 五中心:总共有5个数据中心(Zone),分布如下:
- 城市A:Zone1(R/W)、Zone2(R/W)
- 城市B:Zone3(R/W)、Zone4(R/W)
- 城市C:Zone5(RO)
一、读写副本(R/W Zone)与只读副本(RO Zone)的数量
| Zone 类型 | 数量 | 角色说明 |
|---|---|---|
| R/W Zone | 4 | 参与写入投票,可成为主副本 |
| RO Zone | 1 | 仅支持异步只读查询 |
二、具体数据分片的副本分布
假设有一张用户表,其中 用户X的数据分片(Tablet) 在五个中心中的分布如下:
- 主副本(Leader):位于 Zone1(城市A)
- 从副本(Follower):分布在 Zone2(城市A)、Zone3(城市B)、Zone4(城市B)
- 只读副本(RO):位于 Zone5(城市C)
读写流程说明:
写入操作:
- 用户X的更新请求必须发送到 主副本(Zone1)。
- Zone1 生成 Redo 日志,通过 Paxos 协议将日志同步至 至少 3 个 R/W Zone(例如 Zone1 + Zone3 + Zone4),形成多数派确认后提交事务。
- 此时,Zone2 可能未及时同步,但因多数派已确认,写入成功。
读取操作:
- 强一致性读:默认从主副本(Zone1)读取最新数据,或从已同步的 R/W Zone(如 Zone3、Zone4)读取(需依赖全局时间戳)。
- 本地化读:用户若在 城市C,可直接从 Zone5(RO Zone)读取数据,但数据可能略有延迟(异步同步)。
三、关键特性总结
读写副本(R/W Zone):
- 数量:通常为 3~5 个(本例为4个),参与 Paxos 协议投票。
- 主副本唯一性:每个数据分片的主副本仅存在于 1个 R/W Zone 中,其他 R/W Zone 保存从副本(Follower)。
只读副本(RO Zone):
- 数量:根据业务需求扩展(本例为1个),不参与写入投票。
- 数据延迟:通过异步同步从主副本获取数据,适合低延迟读取非实时数据。
容灾能力:
- 城市级故障:若城市A(Zone1、Zone2)整体故障,剩余 R/W Zone(Zone3、Zone4)仍可形成多数派(需至少3个存活),自动选举新主(如 Zone3)。
- 部分故障:若 Zone1 主副本宕机,其他 R/W Zone 的从副本通过 Paxos 协议秒级切换新主。
四、常见问题解答
Q1: RO Zone 是否完全不能写入?
- 是。RO Zone 仅保存异步副本,写入必须通过主副本所在的 R/W Zone。
Q2: 为何需要多个 R/W Zone?
- 高可用:确保任意城市故障时,仍有足够的 R/W Zone 形成多数派(例如 5 个 R/W Zone 允许同时故障 2 个)。
- 负载均衡:不同数据分片的主副本可分布在多个 R/W Zone 中,避免单点压力。
Q3: 主副本如何选举?
- Paxos 协议:剩余存活的 R/W Zone 副本通过投票选举新主,需多数派同意(例如 4 个 R/W Zone 中至少 3 个存活)。
五、总结
- 三地五中心 中,R/W Zone(读写副本)占多数(如4个),每个数据分片的主副本仅存在于一个 R/W Zone,其他 R/W Zone 为从副本。
- RO Zone(只读副本) 仅用于异步读取,不参与一致性协议。
- 通过 Paxos 多数派机制,即使单个城市故障,仍能保障数据零丢失(RPO=0)和秒级恢复(RTO<30s)。
在分布式数据库系统中,租约机制(Lease Mechanism) 是保障多副本之间主节点(Leader)权威性、避免“脑裂”(Split-Brain)问题,并实现快速故障切换的核心技术。OceanBase 的租约机制与 Paxos 协议深度结合,确保在主副本故障时,系统能在秒级内自动选举新主,同时维持数据强一致性。以下是其核心原理和实现细节:
一、租约机制的核心作用
主副本权威性维护
- 唯一写权限:租约机制确保在任意时刻,只有一个主副本(Leader) 能接受写请求,避免多个节点同时写入导致数据冲突。
- 防止脑裂:通过租约的“有效期”限制,若主副本因网络分区或宕机无法续约,其他副本将自动触发选举新主,杜绝双主问题。
故障检测与快速切换
- 主副本需在租约有效期内定期向其他副本发送心跳(续租)。若从副本超时未收到心跳,则认为主副本失效,立即发起新主选举,实现 RTO < 30 秒 的恢复目标。
二、租约机制的工作原理
1. 租约的生命周期
- 租约授予:
当副本通过 Paxos 协议被选举为主节点时,系统为其分配一个租约有效期(例如 10 秒)。在此期间,主副本独占写权限。 - 租约续期:
主副本需在租约到期前,通过心跳消息向多数派(Paxos多数派)续租。续租成功则重置租约有效期。 - 租约失效:
若主副本因故障或网络问题未能续租,租约到期后,其写权限自动失效,触发新主选举。
2. 租约与 Paxos 的协同
- 选举依赖 Paxos:
新主选举由 Paxos 协议驱动,需多数派副本达成共识,确保新主合法性。 - 租约绑定日志提交:
主副本的租约有效期与其日志提交进度绑定。只有成功提交日志到多数派副本的主节点,才能续租,避免数据不一致。
3. 示例流程
正常写入:
- 主副本(Leader)接收写请求,生成日志并通过 Paxos 同步至多数派副本。
- 同步成功后,主副本续租,重置租约有效期。
主副本故障:
- 从副本(Follower)检测到主副本心跳超时(租约过期)。
- 从副本发起新主选举,Paxos 协议确保新主被多数派认可。
- 新主接管写服务,并更新租约。
三、租约机制的关键设计
1. 租约超时时间(Lease Timeout)
- 典型值:通常设置为秒级(如 10 秒),平衡故障检测灵敏度与网络波动容错。
- 动态调整:根据网络延迟和系统负载动态优化,避免因短暂抖动误判主副本失效。
2. 租约与数据一致性
- 日志提交优先:
主副本必须确保日志已同步到多数派副本后,才能续租。这保证新主选举时,数据已持久化在多数节点,避免回滚。 - 租约与全局时间戳(GTS):
新主上任后,从 GTS 服务获取最新时间戳,确保事务版本的全局连续性。
3. 网络分区的容错
- 多数派原则:
若主副本因网络分区失去与多数派的连接,租约无法续期,自动降级为从副本;剩余多数派副本选举新主。 - 分区恢复后:
旧主副本若重新加入集群,需同步新主期间的数据差异,确保最终一致。
五、总结
OceanBase 的租约机制通过 “租约有效期 + Paxos 多数派共识” 的设计,在分布式环境下实现了以下目标:
- 强一致性:主副本的唯一性保障数据写入有序。
- 高可用性:租约超时触发秒级故障切换,RTO 极低。
- 防脑裂:依赖多数派投票杜绝双主冲突。
该机制与三地五中心架构的 Paxos 多副本同步、全局时间戳服务紧密配合,是 OceanBase 实现金融级高可用与强一致性的基石。
OceanBase 使用的 Paxos 协议是 Multi-Paxos,而非 Basic Paxos。这一选择与其高可用、强一致性的设计目标密切相关。以下是具体分析:
1. Basic Paxos 的局限性
Basic Paxos 每次提案需经过 Prepare 和 Accept 两个阶段,且每个提案独立运行。这种设计在以下场景中存在明显不足:
- 活锁问题:多个 Proposer 可能因竞争提案编号导致无限循环,无法达成共识(例如两个 Proposer 交替提交更高编号的提案)。
- 高延迟:每个提案需要两轮网络交互(Prepare + Accept),频繁操作时性能较低,难以满足分布式数据库的高吞吐需求。
2. OceanBase 对 Multi-Paxos 的优化
OceanBase 在 Multi-Paxos 基础上进行了深度定制,主要改进包括:
(1) 主副本(Leader)的选举与租约机制
- 固定主副本:通过选举确定一个主副本(Leader),由其主导日志流的写入和同步,避免了 Basic Paxos 的多 Proposer 竞争问题。
- 租约(Lease)续期:主副本需在租约有效期内定期续租,若超时未续租,则触发新主选举,确保主副本的唯一性,防止“脑裂”。
(2) 日志流的乱序提交
- 日志流(LogStream)设计:每个数据分片(Tablet)对应一个日志流,主副本通过 Multi-Paxos 将 Redo 日志异步同步至多数派副本。
- 多数派确认即提交:日志提交无需严格顺序,只要多数派副本确认即可完成事务提交,提升了并发性能。
(3) 减少网络交互
- 合并 Prepare 阶段:通过固定主副本,省去了多次 Prepare 阶段的网络交互,仅需一次 Accept 阶段即可完成多数派同步,大幅降低延迟。
3. Multi-Paxos 在 OceanBase 中的具体实现
(1) 主副本的权威性
- 写入路径唯一:所有写操作必须经过主副本,主副本通过 Paxos 协议将日志同步至从副本,确保数据强一致性。
- 自动故障切换:主副本失效时,剩余副本基于租约超时触发选举新主,切换过程秒级完成(RTO < 30 秒)。
(2) 日志流的持久化与回放
- 持久化流程:主副本将日志持久化到本地存储后,同步发送至其他副本,多数派确认后即视为提交成功。
- 从副本实时回放:从副本通过回放日志流与主副本保持数据一致,支持强一致性查询。
(3) 性能优化
- 批量提交:支持多个事务日志合并提交,减少网络开销。
- 异步复制:日志同步与事务提交解耦,提升吞吐量。
4. 与 Basic Paxos 的对比
| 特性 | Basic Paxos | OceanBase 的 Multi-Paxos |
|---|---|---|
| 提案流程 | 每个提案独立两阶段提交 | 主副本主导,合并 Prepare 阶段 |
| 主节点角色 | 无固定 Leader | 固定 Leader 并通过租约维护权威性 |
| 网络开销 | 高(每提案两轮交互) | 低(批量提交 + 异步同步) |
| 活锁风险 | 存在 | 通过主副本选举规避 |
| 适用场景 | 低频次共识(如配置变更) | 高频事务处理(如金融级数据库) |
总结
OceanBase 采用 Multi-Paxos 协议,通过固定主副本、租约机制、日志流乱序提交等优化,解决了 Basic Paxos 的活锁与性能瓶颈,实现了高吞吐、低延迟的强一致性分布式数据库服务。其设计兼顾了理论严谨性与工程实践性,成为金融、政务等领域核心系统的首选方案。