Распределённые системы
Саги: тест с выбором ответа
Суть Синтез всего юнита о сагах в формате выбора — почему ломается 2PC, чем compensating action отличается от rollback, choreography против orchestration и аномалии из-за потери изоляции.
Высота — путь к senior
НольJuniorMiddleSenior
Ты на senior-высоте — в орбитеШесть вопросов сквозь весь юнит. Каждый отражает проектное решение, которое ты принимаешь, когда одна транзакция не может охватить работу, — не определение для пересказа, а трейдофф, который надо взвесить, когда частичный отказ это норма.
Цель
Убедись, что связываешь воедино, почему 2PC не выживает между сервисами, почему compensation это не rollback, когда choreography бьёт orchestration и какие аномалии следуют из потери изоляции, — синтез, к которому вёл урок.
Викторина
Completed
Путь checkout проходит через шесть сервисов, один из них — сторонний платёжный шлюз. Почему завернуть их в один two-phase commit — ошибка?
Heads-up Дело не в числе round trip, а в удерживаемых блокировках и блокирующем координаторе. Даже будь 2PC быстрым, заблокировать чужой шлюз на время невозможно.
Heads-up 2PC работает с любым числом участников; протокол корректен. Проблема операционная — межсервисные блокировки и единый блокирующий координатор, а не корректность.
Heads-up Даже идеально доступный координатор всё равно заставляет участников держать блокировки на время round trip, а сторонний шлюз не может голосовать в твоей фазе prepare. HA не чинит ни то, ни другое.
Викторина
Completed
Шаг T2 списывает с карты; шаг T3 падает, и сага запускает C2. Что C2 делает на самом деле и почему различие важно?
Heads-up Откатывать нечего — T2 закоммитилась локально и durable в момент выполнения. Compensation это совершенно новое бизнес-действие, а не rollback базы.
Heads-up Сага существует именно потому, что нет координатора, держащего транзакцию открытой. Каждый шаг коммитится сразу; единственный откат — явная compensation, которую ты пишешь.
Heads-up Откатить нельзя, но компенсировать можно. Пропуск C2 оставляет списанные деньги без заказа — ту самую несогласованность, которую компенсации саги и предотвращают.
Викторина
Completed
Сага поездки делает T1 бронь рейса, T2 бронь отеля, T3 аренда машины, затем списание карты, затем письмо-подтверждение. Почему сеньор ставит шаги именно так?
Heads-up Списание первым означает, что любой последующий сбой влечёт возврат — деньги двигались дважды, комиссия может остаться. Сначала делай отменяемую, бронируемую работу; списывай только когда остальное удалось.
Heads-up Не у каждого — отправленное письмо нельзя отозвать, а возврат не чистая инверсия списания. Порядок шагов это и есть способ минимизировать опору на несовершенные или отсутствующие компенсации.
Heads-up Порядок деплоя нерелевантен. Порядок шагов саги — проектное решение по обратимости: ставь шаги с худшими компенсациями последними.
Викторина
Completed
Процесс заказа из 6 шагов охватывает 5 сервисов с ретраями, таймаутами и шагом ручного одобрения, который может ждать дни. Choreography или orchestration?
Heads-up Отсутствие единой точки отказа реально, но при 6 шагах по 5 сервисам логика размазана нигде-и-везде, а многодневное ожидание требует персистентного состояния, которым не владеет ни один реагирующий сервис. Трассировка застрявшей саги превращается в раскопки.
Heads-up Эта цена реальна, но оправдана, как только в процессе есть ветвления, ретраи, таймауты и многодневное ожидание — именно та сложность, где у «где логика?» перестаёт быть ответ в одном файле.
Heads-up Выбор — обязательство на кварталы. Choreography годится для короткого, стабильного, линейного процесса; ветвления, ретраи и многодневное ожидание здесь жёстко тянут к orchestration.
Викторина
Completed
Сага B читает заказ, который сага A закоммитила, но позже компенсирует, и действует на нём. Какая это аномалия и почему она вообще возможна?
Heads-up Саги не держат блокировки между шагами, так что классический deadlock не проблема. Верно обратное — ничего не заблокировано, поэтому ещё-не-финальное состояние свободно видно. Это dirty read.
Heads-up Non-repeatable read — это когда одна сага читает одно значение дважды и получает разные результаты. Чтение чужого, вот-вот компенсируемого состояния — это dirty read.
Heads-up Закоммичено локально — не то же, что сага успешна. Шаг может закоммититься и всё равно быть компенсирован, так что читать его — действовать на данных, которые исчезнут. Это dirty read.
Викторина
Completed
Две саги одновременно меняют один баланс счёта, и одна затирает изменение другой. Какая контрмера убирает этот lost update напрямую?
Heads-up Backoff снижает вероятность, но не убирает гонку. Под нагрузкой записи всё равно переплетаются и одна затирает другую; фикс — независимое от порядка или версионно-проверенное обновление.
Heads-up Возврат 2PC уничтожает весь смысл саги и возвращает межсервисные блокировки. Lost update чинится на уровне приложения коммутативными обновлениями или оптимистичной проверкой версии.
Heads-up Каждый шаг — отдельная локальная транзакция в отдельном сервисе; ни один уровень изоляции базы не охватывает сагу. Изоляция здесь восстанавливается в приложении — коммутативные обновления, semantic lock, проверка версии.
Итог
Сквозная линия: одна ACID-транзакция не может охватить сервисы, а лекарство 2PC — межсервисные блокировки плюс блокирующий координатор — хуже болезни. Сага отказывается от глобальной транзакции ради локальных коммитов плюс написанных руками компенсаций, которые суть новые прямые действия, а не rollback, поэтому необратимые шаги ставишь последними. Шаги связываешь choreography (децентрализованно, но размазано) или orchestration (одно durable место для чтения и продолжения), а за потерю изоляции платишь защитой на уровне приложения — semantic lock, коммутативные обновления, проверка версии — против dirty read и lost update.