Таненбаум Э. Распределенные системы. Принципы и парадигмы
Подождите немного. Документ загружается.
7.2. Отказоустойчивость процессов 411
Группы процессов могут быть динамическими. Могут создаваться новые груп-
пы и ликвидироваться старые. В ходе системной операции процесс может войти
в группу или покинуть ее. Процесс может входить в несколько групп одновре-
менно. Таким образом, нам необходимы механизмы для управления группами и
членством в них.
Группы отдаленно напоминают общественные организации. Алиса может быть
членом клуба книголюбов, теннисного клуба и общества «зеленых». В опреде-
ленные дни она может получать письма (сообщения), извещающие о новой кни-
ге «Выпечка для юбилеев» из клуба книголюбов, о ежегодном теннисном турни-
ре,
посвященном празднику 8 Марта, из теннисного клуба и из общества защиты
природы о начале кампании в защиту южных сурков. В любой момент она может
покинуть любой из них или все эти клубы, или вступить в другие.
Цель группировки состоит в том, чтобы перейти от рассмотрения отдельных
процессов к рассмотрению новой абстракции
—
группы процессов. Так, процесс
может посылать сообщения группе серверов, не зная ничего о том, сколько их
там и где они находятся, причем состав группы серверов при каждом вызове мо-
жет быть разным.
Одноранговые и иерархические группы
Все группы можно разделить в соответствии с их внутренней структурой. В неко-
торых группах все процессы равны между собой. Никаких начальников нет, и все
решения принимаются коллективно. В других группах существует нечто вро-
де иерархии. Так, например, один из процессов
—
координатор, а все осталь-
ные
—
простые исполнители. В такой модели при появлении запроса, созданно-
го где-то вне процесса или одним из внутренних рабочих процессов, этот запрос
посылается координатору. Координатор решает, который из исполнителей луч-
ше всего справится с запросом и передает ему этот запрос. Разумеется, возмож-
ны также и более сложные иерархические отношения. Эти способы взаимодей-
ствия иллюстрирует рис. 7.2.
Одноранговая
группа
Иерархическая
группа
Координатор
Исполнитель
а б
Рис. 7.2. Взаимодействие
в
одноранговой (а) и иерархической (б) группах
412 Глава 7. Отказоустойчивость
Любая из этих организаций имеет свои преимущества и недостатки. Одно-
ранговая группа симметрична и не имеет единичной точки отказа. Если в одном
из процессов обнаруживается ошибка, группа просто становится меньше, но
продолжает существовать. Недостаток одноранговых групп состоит в том, что
процесс принятия решений более сложен. Так, например, для того чтобы догово-
риться о чем-то, необходимо проводить голосование, что влечет за собой опреде-
ленную задержку и необходимость дополнительных действий.
Иерархическая группа обладает противоположными свойствами. Потеря ко-
ординатора влечет за собой остановку работы всей группы, но пока он находится
в рабочем состоянии, принимает решения сам, никого при этом не беспокоя.
Членство в группе
При групповом взаимодействии необходимы специальные методы создания и унич-
тожения групп, а также добавления процессов в группу и их удаления из нее.
Один из возможных методов
—
создание
сервера
групп
{group
server),
к которому
должны направляться соответствующие запросы. Сервер групп будет поддержи-
вать полную базу данных по группам и членству в них. Этот метод прост, эффек-
тивен и легко реализуем. К сожалению, для него характерен основной недостаток
всех централизованных методов
—
единственная точка отказа. Если сервер групп
выйдет из строя, всякое управление группами будет потеряно. Вероятно, из полу-
чившихся обломков большую часть групп удастся воссоздать, но при этом всякая
деятельность, которая в них происходила, будет прервана.
Другой возможный метод
—
распределенное управление членством. Так, на-
пример, если доступна надежная групповая рассылка, внешний участник взаи-
модействия может послать сообщение всем членам группы, объявив о своем же-
лании войти в состав этой группы.
В идеале, для того чтобы покинуть группу, ее члену достаточно разослать всем
членам группы «прощальное письмо». В контексте отказоустойчивости исполь-
зование семантики аварийной остановки, вообще говоря, запрещено. Проблема
состоит в том, что существует нормальный способ объявить о добровольном
прекращении членства в группе, но нет способа объявить об аварийной потере
одного из членов. Другие члены группы должны определить это эксперимен-
тально, заметив, что некий член группы длительное время никому не отвечает.
Как только становится понятно, что член группы действительно находится в не-
рабочем состоянии (а не просто медленно работает), он должен быть удален из
группы.
Еще одна сложная проблема состоит в том, что удаление и добавление членов
должны происходить синхронно с обработкой сообщений с данными. Другими
словами, начиная с момента добавления процесса в группу, он должен получать
все сообщения, направляемые группе. Соответственно, как только процесс поки-
дает группу, он больше не должен получать отправленные в группу сообщения, и
другие члены группы не должны получать сообщений от него. Один из способов
гарантировать, что удаление или добавление в группу попало в правильное ме-
сто потока сообщений
—
конвертировать эту операцию в последовательность со-
общений, отправляемых всей группе.
7.2. Отказоустойчивость процессов 413
Еще один вопрос относительно членства в группах состоит в том, что делать
при отказе сразу нескольких машин, в результате которого группа не может про-
должать функционирование. Необходим какой-то протокол повторной сборки
группы. И вновь некий процесс должен проявить инициативу. Но что произой-
дет, если это одновременно сделают два или три процесса? Протокол должен
быть в состоянии решить и эту проблему.
7.2.2. Маскировка ошибок и репликация
Группы процессов предлагают решение части задачи построения отказоустойчи-
вых систем. В частности, группа идентичных процессов позволяет замаскировать
наличие в этой группе одного или более отказавших процессов. Другими сло-
вами, мы можем реплицировать процессы и организовать их в группу, заменяя
одиночный (уязвимый) процесс отказоустойчивой группой. Как мы говорили
в предыдущей главе, имеется два способа проведения подобной репликации
—
с использованием протоколов на основе первичной копии или протоколов репли-
цируемой записи.
В случае отказоустойчивости репликация на основе первичной копии обычно
применяется в форме протокола первичного архивирования. В этом случае груп-
па процессов организуется в иерархию, в которой первичная копия координиру-
ет все операции записи. На практике первичная копия фиксирована, хотя при
необходимости ее роль может взять на себя одна из архивных копий. В действи-
тельности при ошибке в первичной копии архивные копии, используя опреде-
ленный алгоритм голосования, выбирают новую первичную копию.
Как мы видели в предыдущей главе, протоколы реплицируемой записи ис-
пользуются в форме активной репликации или протоколов на основе кворума.
Эти решения и применяются для организации набора идентичных процессов в
одноранговую группу. Ее главное преимущество состоит в том, что такая группа
не имеет единой точки отказа, а ценой за это преимущество является распреде-
ленная координация.
Важный вопрос использования групп процессов для повышения отказоустой-
чивости состоит в том, насколько значительной должна быть репликация. Чтобы
упростить наши рассуждения, давайте рассмотрим только систему реплицируе-
мой записи. Система будет называться устойчивой к k отказам, если она останет-
ся работоспособной после отказа k компонентов. Если компоненты, называемые
также процессами, останавливаются без уведомления, то наличия k
+
\ процес-
сов достаточно, чтобы обеспечить устойчивость к k отказам. Если k из них про-
сто прекратят работу, будет использован ответ от одного оставшегося.
С другой стороны, если процесс, в котором произошла византийская ошибка,
продолжает работать, рассылая ошибочные или просто случайные сообщения, то
для того, чтобы обеспечить устойчивость к k отказам, нам необходимо как мини-
мум 2k
+
\ процессов. В наихудшем случае ошибки в k процессах могут случайно
(или даже намеренно) породить одинаковые результаты. Однако остальные k
+
i
процессов также дадут одинаковые результаты, так что клиент или устройство
голосования смогут все же поверить большршству.
414 Глава 7. Отказоустойчивость
Разумеется, в теории легко говорить, что система устойчива к k отказам про-
сто потому, что k
+
\ одинаковых результатов перевесят k одинаковых результа-
тов,
но на практике трудно представить себе обстоятельства, в которых можно с
определенностью сказать, что k процессов могут ошибаться, а ^ +
1
процессов
—
не могут. Таким образом, даже в отказоустойчивой системе необходимо что-то
вроде статистического анализа.
Подразумеваемое предусловие для этой модели состоит в том, что все за-
просы приходят ко всем серверам в одинаковом порядке. Это предусловие из-
вестно под названием
проблемы атомарной групповой рассылки {atomic multicast
problem).
На самом деле это условие может быть немного ослаблено, поскольку
операции чтения нас не интересуют, а значит, некоторые операции записи могут
быть завершены и во время чтения, но общая проблема остается. Атомарная
групповая рассылка детально рассматривается в следующем разделе.
7.2.3. Соглашения в системах с ошибками
Организация реплицируемых процессов в группы помогает повысить отказо-
устойчивость. Как мы говорили, если клиент в состоянии принимать решения на
основе процесса голосования, мы можем выдержать, даже если
А
из 2^ +
1
процес-
сов будут выдавать неверные результаты. При этом предполагается, что эти про-
цессы не сговорились нас обмануть.
Если мы нуждаемся в том, чтобы группа процессов соблюдала некое соглаше-
ние,
дело обычно сильно усложняется. Соглашения необходимы во многих слу-
чаях. Вот несколько примеров: выборы координатора, решение о том, завершать
транзакцию или нет, разделение задач между рабочими процессами или синхро-
низация. Если линии связи и процессы находятся в полном порядке, соблюдать
соглашение обычно довольно просто, но когда это не так, возникают проблемы.
Основная задача алгоритмов распределенного соглашенрш состоит в том, что-
бы привести все безошибочные процессы к согласию по определенным вопросам
и к тому, чтобы достичь этого согласия за конечное число шагов. В зависимости
от системных параметров, в частности наличия или отсутствия надежной связи
или семантики отказа процессов, возможны различные варианты таких алгорит-
мов.
Перед тем как обсуждать процессы с ошибками, давайте рассмотрим «про-
стой» случай идеальных процессов, линии связи между которыми могут терять
сообщения. Это известнейшая проблема, называемая
проблемой
двух
армий
{two-
army
problem),
которая иллюстрирует, насколько трудно двум даже идеальным
процессам достичь соглашения относительно 1 бита информации. Армия «зеле-
ных», из 5000 человек, стоит лагерем в долине. Две армии «синих», каждая чис-
ленностью по 3000 человек, расположены на окружающих долину холмах, с ко-
торых просматривается долина. Если эти две армии «синих» в состоянии
скоординировать свою атаку на «зеленых», они победят. Однако если каждая из
них атакует по отдельности, они будут разбиты. Задача армий «синих»
—
заклю-
чить соглашение об одновременной атаке. Проблема состоит в том, что для связи
друг с другом у них имеется только ненадежный канал: они могут посылать со-
общения с посыльным, которого «зеленые» могут взять в плен.
7.2. Отказоустойчивость процессов 415
Представим себе, что командир одной из армий «синих», генерал Александер,
посылает сообщение командиру второй армии «синих», генералу Бонапарту,
в котором пишет: «У меня есть план
—
давайте атакуем завтра на рассвете». По-
сыльный добирается до места назначения, и Бонапарт отправляет его назад с отве-
том: «Отличная идея, Алекс. Увидимся завтра, как рассветет». Посыльный не-
вредимым возвращается назад, и Александер приказывает войскам подготовиться
к бою на рассвете.
Однако позже в этот же день Александер понимает, что Бонапарт не знает,
добрался ли посыльный назад, а не зная этого, может и не решиться на атаку.
В
результате Александер приказывает посыльному пойти и сказать Бонапарту,
что его (Бонапарта) сообщение доставлено и битва состоится.
Посыльный добирается до армии Бонапарта и доставляет подтверждение. Но
теперь Бонапарт начинает беспокоиться о том, что Александер не знает, дошло
ли до него это подтверждение. По мнению Бонапарта, Александер будет рассуж-
дать так: «Если Бонапарт подумает, что посыльный был взят в плен, он не будет
уверен в моих (Александера) планах и может не рискнуть атаковать». И Бона-
парт вновь посылает гонца назад.
Сколько бы посыльный ни бегал туда-сюда, нетрудно понять, что Александер
и Бонапарт никогда не договорятся между собой, сколько бы соглашений они
друг другу не пересылали. Допустим, что это
—
некий протокол, который огра-
ничен конечным числом шагов. Уберем все дополнительные шаги в конце обме-
на, чтобы получить минимальный работающий протокол. Какое-то сообщение
станет теперь последним, и оно будет абсолютно необходимым для достижения
этого соглашения (поскольку это минимальный протокол). Если это сообщение
не будет доставлено, война прекратится.
Однако отправитель последнего сообщения не знает, доставлено ли это сооб-
щение. Если оно не доставлено, протокол не завершается и второй генерал не на-
чинает атаку. Таким образом, отправитель последнего сообщения не может уз-
нать,
планируется война или нет, а следовательно, не может отдать безопасной
команды своим войскам. Поскольку получатель последнего сообщения знает,
что отправитель не уверен в результате, он также не хочет идти на верную
смерть, и соглашение не заключается. Даже при условии безошибочных процес-
сов (генералов) соглашение между двумя процессами при условии ненадежного
взаимодействия невозможно.
Теперь предположим, что связь идеальна, а процессы
—
нет. Эта классическая
задача известна под названием проблемы византийских генералов {Byzantine
generals
problem). Согласно условиям этой задачи армия «зеленых» по-прежне-
му стоит лагерем в долине, а п армий синих под командованием своих генералов
расположились за рядом стоящими холмами. Между каждой парой из них нала-
жена телефонная связь, она мгновенна и идеальна. Однако т генералов
—
преда-
тели (дефектные процессы), которые активно стараются помешать лояльным
генералам заключить соглашение, сообщая им заведомо неверную и противо-
речивую информацию (моделируя неверно функционирующие процессы). Во-
прос в том, смогут ли лояльные генералы договориться, невзирая на противодей-
ствие.
416 Глава 7. Отказоустойчивость
В целях общности в данном случае мы определим соглашение немного иначе.
Каждый генерал знает, сколько у него солдат. Нашей целью будет обмен сведе-
ниями о силе войск, то есть после окончания работы алгоритма каждый генерал
должен будет получить вектор длины п, соответствующий всем армиям. Если ге-
нерал i лоялен, то элемент i содержит численность его группировки, в противном
случае он будет не определен.
Рекурсивный алгоритм, предложенный в
[252],
при определенных услови-
ях решает эту проблему. Рисунок 7.3 иллюстрирует работу этого алгоритма при
п
= А
и
m
= 1. При таких параметрах алгоритм срабатывает за четыре шага. На
шаге 1 каждый генерал посылает (надежным путем) каждому из прочих генера-
лов сообщение, объявляя о численности своей армии. Лояльные генералы гово-
рят правду, предатели могут лгать каждому из генералов по-разному. На
рис.
7.3,
а мы видим, что генерал 1 сообщает о 1К солдат, генерал 2
—
о 2К солдат, гене-
рал 3 лжет каждому из них, указывая
л:,
г/ и z соответственно, а генерал 4 сообща-
ет о 4К солдат. На шаге 2 результаты, объявленные на шаге 1, собираются вместе
в виде векторов (рис. 7.3, б).
1 Получено(1, 2, X, 4) 1 Получено 2 Получено 4 Получено
2 Получено(1! 2, у' 4)
(1,
2, у, 4) (1.2,х.4) (1.2,х,4)
3 Получено(1. 2, 3, 4) (а, Ь, с, d) (е, f, g, h)
(1,
2, у. 4)
4 Получено(1. 2, z, 4)
(1.
2. z, 4)
(1.
2, z, 4) (i, j, k, I)
Дефектный
процесс
Рис. 7.3. Задача византийских генералов с тремя лояльными генералами и одним
предателем. Генералы объявляют численность своих армий в килосолдатах (а).
Векторы,
которые собрал каждый из генералов на основе полученной
информации (б). Векторы, полученные генералами на шаге 3 (в)
На шаге 3 каждый из генералов посылает свой вектор всем остальным генера-
лам. И снова генерал 3 лжет, придумывая 12 новых значений, от а до /. Результа-
ты шага 3 показаны на рис. 7.3, в. И наконец, на шаге 4 каждый генерал проверя-
ет i'u элемент каждого из присланных ему векторов. Если одно из значений
встречается в большинстве присланных векторов, оно помещается в итоговый
вектор. Если ни одно из значений не имеет преимупдества, соответствуюш.ий эле-
мент в итоговом векторе помечается как
UNKNOWN.
На рис. 7.3, в мы видим, что
генералы 1, 2 и 4 пришли к соглашению о том, что следующий итоговый вектор
является правильным:
(1,
2,
UNKNOWN,
4)
Предатель не смог повредить информацию лояльных генералов; он оказался
не в состоянии испортить их работу.
7.3. Надежная связь клиент-сервер 417
Рассмотрим теперь ту же задачу при п = 3 и m = 1, то есть при двух лояльных
генералах и одном предателе, как показано на рис. 7.4. Как мы видим на рис. 7.4, в,
ни один из лояльных генералов не может получить большинства значений по эле-
менту 1, элементу 2 или элементу
3,
а значит, все они помечаются как
UNKNOWN.
Алгоритм не в состоянии привести группу к соглашению.
1 Получено(1. 2. х) 1 Получено 2 Получено
2 Получено(1, 2, у)
(1,
2, у)
(1,
2, х)
3 Получено(1, 2. 3) (а, Ь, с) (d, е. f)
Дефектный
процесс
а б в
Рис. 7.4. Задача византийских генералов с двумя лояльными генералами и одним предателем
В [252] доказано, что в системе, где т дефектных процессов, соглашение мо-
жет быть достигнуто только при наличии 2ш +
1
правильно функционирующих
процессов, а в сумме процессов должно быть Зт + 1. Если говорить проще, со-
глашение достижимо только в том случае, если правильно функционируют бо-
лее двух третей процессов.
Имеется и другой способ представления этой проблемы. Фактически нам
нужно достичь того, чтобы при голосовании большинство принадлежало группе
лояльных генералов, несмотря на то, что среди них имеются и предатели. Если
имеется т предателей, нам нужно гарантировать, что их голоса вместе с голосами
тех лояльных генералов, которых им удалось сбить с толку, не могли перевесить
голосов лояльных генералов. При наличии 2т
+
i лояльных генералов это мож-
но сделать, потребовав, чтобы соглашение было заключено только в том случае,
если две трети значений голосов одинаковы. Другими словами, если более двух
третей всех генералов пришли к одинаковому решению, это решение соответству-
ет значению, за которое проголосовало большинство группы лояльных генералов,
К сожалению, вариант соглашения может быть еще хуже. В [145] показано,
что в распределенных системах невозможно гарантировать доставку сообщений
за известное конечное время, а значит, если один из процессов дефектный (осо-
бенно если этот процесс прекратил работу без оповещения), то никакое соглаше-
ние невозможно. Проблема таких систем состоит в том, что очень медленные
процессы неотличимы от неработающих. Существует множество теоретических
рассуждений о том, когда подобное соглашение возможно, а когда нет. Отчет об
этих результатах можно найти в [37, 465].
7.3. Надежная связь клиент-сервер
Во многих случаях при описании вопросов отказоустойчивости в распределен-
ных системах основное внимание уделяется дефектным процессам. Однако необ-
418 Глава 7. Отказоустойчивость
ходимо также учитывать и дефекты взаимодействия. Большинство из обсуждав-
шихся ранее моделей отказов одинаково успешно могут быть применены и к ка-
налам связи. Так, в частности, в каналах связи могут иметь место поломки, про-
пуски, ошибки синхронизации и произвольные ошибки. На практике при
строительстве надежных каналов связи основные усилия направлены на маски-
рование поломок и пропусков. Произвольные ошибки часто имеют вид повто-
ряющихся сообщений, порождаемых в результате того, что в компьютерных се-
тях сообщения могут надолго «застревать» в промежуточных буферах и вновь
попадать в сеть уже после того, как исходный отправитель произвел повторную
отправку того же сообщения
[446].
7.3.1.
Сквозная передача
Во многих распределенных сетях надежная сквозная (point-to-point) передача
реализуется путем использования надежного транспортного протокола, такого
как TCP. TCP маскирует пропуски, проявляющиеся в виде потери сообщений,
с помощью механизма подтверждений и повторных посылок. Эти ошибки оста-
ются абсолютно незамеченными клиентом TCP.
Однако поломки (обрывы) связи часто оказывается невозможно замаскиро-
вать.
Поломка может произойти, когда по каким-либо причинам соединение TCP
внезапно прерывается, так что сообщения по этому каналу больше передаваться
не могут. Во многих случаях клиент уведомляется о поломке канала путем воз-
буждения исключения. Единственный способ замаскировать ошибки такого ро-
да состоит в том, чтобы позволить распределенной системе автоматически уста-
новить новое соединение.
7.3.2. Семантика RPC при наличии ошибок
Давайте взглянем поближе на взаимодействие между клиентом и сервером с ис-
пользованием высокоуровневых коммуникационных механизмов, таких как уда-
ленный вызов процедур (Remote Procedure Call, RPC) или удаленное обращение
к методам (Remote Method Invocation, RMI). Далее мы сосредоточимся на RPC,
но наше обсуждение также будет приложимо и к связи
с
удаленными объектами.
Назначение RPC
—
скрыть сам факт взаимодействия путем вызовов удален-
ных процедур, которые выглядят так же, как локальные вызовы. С некоторыми
исключениями до сих пор мы были к этому очень близки. В самом деле, пока и
клиент и сервер работают без ошибок, механизм RPC отлично справляется со
своим делом. Проблемы возникают, когда начинаются ошибки. Причина про-
блем кроется в том, что при наличии ошибок скрыть разницу между локальными
и удаленными вызовами гораздо сложнее.
Чтобы систематизировать обсуждение, разделим ошибки, которые могут воз-
никнуть в системах RPC, на пять классов следующим образом:
4-
клиент не в состоянии обнаружить сервер;
4-
потеря сообщения с запросом от клиента к серверу;
7.3. Надежная связь клиент-сервер 419
-f поломка сервера после получения запроса;
-¥ потеря ответного сообщения от сервера к клиенту;
4- поломка клиента после получения ответа.
Ошибки каждого из этих классов ставят перед нами различные задачи, кото-
рые требуют различных способов решения.
Клиент не в состоянии обнаружить сервер
Начнем с того, что происходит, если клиент не в состоянии обнаружить подходя-
щий сервер, который может быть, например, отключен.
С
другой стороны, клиент
может быть скомпилирован с некоей конкретной версией клиентской заглушки.
Если исполняемый файл длительное время не используется, за это время сервер
может обзавестись новой версией интерфейса, могут быть созданы и запущены
новые заглушки. В этом случае после запуска клиента может оказаться, что он не
соответствует серверу, вызывая сообщение об ошибке. Поскольку подобный ме-
ханизм используется для защиты клиента от попыток обмена с «неправильным»
сервером (сервером, с которым клиент не может договориться об используемых
параметрах или решаемых задачах), нужно определиться, что делать с такой
ошибкой.
Одно из возможных решений состоит в том, чтобы заставить ошибку возбуж-
дать
исключение
(exception). В некоторых языках (например, в Java) программи-
сты могут писать специальные процедуры, которые вызываются в случае опреде-
ленных ошибок, например деления на ноль. Для этой цели можно использовать
обработчики сигналов. Другими словами, мы можем определить новый тип сиг-
нала и потребовать его обработки наравне с любыми другими сигналами.
Этот подход, разумеется, имеет свои минусы. Для начала, не все языки под-
держивают такие конструкции, как исключения или сигналы. Кроме того, напи-
сание процедуры обработки исключения или сигнала нарушит прозрачность, ко-
торой мы так старались добиться. Представьте, что вы
—
программист и ваш
босс требует от вас написать процедуру суммирования sum. Вы улыбаетесь и го-
ворите ему, что она будет написана, протестирована и задокументирована за
пять минут. После этого босс добавляет, что вы должны также написать обработ-
чик исключения на тот случай, если процедуры вдруг не окажется «на месте».
В
этих условиях очень трудно поддерживать иллюзию, что удаленные процеду-
ры ничем не отличаются от локальных, ведь написание обработчика исключения
под условным названием «невозможно найти сервер»
—
достаточно необычно
для однопроцессорной системы. Прозрачность этого «не переживет».
Потеря сообщения с запросом
Второй элемент в нашем списке касается потери сообщений с запросами. С этим
справиться проще всего: отправляя сообщение, операционная система или кли-
ентская заглушка просто должна включать таймер. Если таймер переполнится,
а
ответ или подтверждение так и не будет получен, сообщение посылается по-
вторно. Если сообщение действительно пропало, сервер не увидит разницы меж-
ду
повторрюй посылкой и оригиналом и все произойдет так, как нужно. Разумеется,
420 Глава 7. Отказоустойчивость
если пропадет такое количество сообщений, что клиент откажется от своей затеи
и ошибочно решит, что сервер не работает, мы снова вернемся к ситуации «невоз-
можно найти сервер». Если запрос не пропал окончательно, то нам следует сде-
лать так, чтобы сервер был в состоянии обнаружить, что имеет дело с повторной
посылкой. К сожалению, как мы увидим при обсуждении утерянных ответов, сде-
лать это не так-то легко.
Поломка сервера
Следующая ошибка в списке
—
поломка сервера. Нормальную последователь-
ность событий на сервере иллюстрирует
рис.
7.5,
а.
Запрос приходит, обрабатыва-
ется и посылается ответ. Рассмотрим теперь рис. 7.5, б. Запрос приходит и обра-
батывается, как и в предыдущем случае, но на сервере происходит поломка до
того,
как он успевает отправить ответное сообщение. И наконец, посмотрим на
рис.
7.6, е. Снова приходит запрос, но на этот раз сервер ломается еще до начала
обработки.
Запрос , ^QP^^P
Ответ
Прием
Выполнение
Ответ
Запрос
Нет ответа
<
Сервер
Прием
Выполнение
1
Поломка!
Запрос
W
Нет ответа
<
Сервер
Прием
[Поломка!
Рис. 7.5. Сервер при взаимодействии клиент-сервер. Нормальная работа (а).
Поломка после обработки запроса (б). Поломка до обработки запроса (в)
Досадно, что правильные действия в случаях {б) и {в) различны. В случае (б)
система должна передать клиенту сообщение об ошибке (например, возбудить
исключение), в то время как в случае {в) она может просто послать запрос по-
вторно. Проблема состоит в том, что операционная система клиента не в состоя-
нии понять, что именно произошло. Ее таймер переполнился
—
вот все, что ей
известно.
Вопрос о том, что делать в данном случае, разные школы решают по-разному
[428].
Одна из методик состоит в том, чтобы ожидать перезагрузки сервера (или
связаться с новым сервером) и повторить операцию. Идея
—
повторять попытки
до тех пор, пока сервер не выдаст ответ, который дойдет до клиента. Подобный
прием называется
семантикой «минимум однажды»
(at least
once semantics)
и га-
рантирует, что вызов RPC будет произведен как минимум один раз, а возможно
и больше.
Другая методика состоит в том, чтобы немедленно отказаться от дальнейших
попыток и вернуть сообщение об ошибке. Этот прием называется
семантикой
«максимум однажды»
(at most
once semantics)
и гарантирует, что вызов RPC бу-
дет произведен максимум один раз, а возможно и ни разу.
Третья из методик не гарантирует ничего. Когда на сервере происходит по-
ломка, клиент не получает никакой помощи и никаких гарантий. Вызов RPC мо-
жет быть не произведен ни разу или произведен любое количество раз. Основное
достоинство этой схемы
—
в простоте ее реализации.