🥇Redis を使用した分散ロック

おい、ハブル！

今日は、Redis を使用した分散ロックの実装に関する複雑な記事の翻訳を紹介し、トピックとして Redis の展望について話し合うことをお勧めします。書籍「」の著者であるマーティン・クレップマンによる問題のレッドロックアルゴリズムの分析高負荷アプリケーション"、与えられたここで.

分散ロックは、さまざまなプロセスが共有リソースに対して相互排他的な方法で動作する必要がある多くの環境で使用される非常に便利なプリミティブです。

Redis を使用して DLM (分散ロックマネージャー) を実装する方法を説明したライブラリや投稿は数多くありますが、各ライブラリは異なるアプローチを採用しており、それらが提供する保証は、もう少し洗練された設計で達成できるものと比較すると非常に弱いものです。

この記事では、Redis を使用して分散ロックを実装する方法を示す条件付き正規アルゴリズムについて説明します。と呼ばれるアルゴリズムについて説明します レッドロック、分散ロックマネージャーを実装しており、私たちの意見では、このアルゴリズムは通常の単一インスタンスのアプローチよりも安全です。コミュニティがそれを分析し、フィードバックを提供し、より複雑なプロジェクトや代替プロジェクトの出発点として使用してくれることを願っています。

実装

アルゴリズムの説明に進む前に、既製の実装へのリンクをいくつか提供します。参照として使用できます。

レッドロックRB (Ruby 用の実装)。もありますフォーク Redlock-rb は、配布を容易にするだけでなく、配布を容易にするためのパッケージ (gem) を追加します。
レッドロックパイ (Python 実装)。
アイオレドロック (Asyncio Python の実装)。
Redlock-php (PHP 用の実装)。
PHPRedisMutex (PHP の別の実装)
チェプラソフ/php-redis-lock (ロック用のPHPライブラリ)
レッドシンク (Go の実装)。
レディソン (Java の実装)。
Redis::DistLock (Perl の実装)。
レッドロック-cpp (C++ の実装)。
レッドロック-CS (C#/.NET 用の実装)。
レッドロックネット (C#/.NET 用の実装)。非同期およびロック拡張機能のサポート。
スカーレットロック (構成可能なデータストアを備えた C# .NET の実装)
レッドロック4ネット (C# .NET 用の実装)
ノードレッドロック (NodeJS の実装)。ロックを拡張するためのサポートが含まれています。

セキュリティと可用性の保証

分散ロックを効果的に使用するために必要な最低限の保証を提供すると思われる XNUMX つのプロパティだけを使用して設計をモデル化します。

セキュリティプロパティ: 相互排他。常に XNUMX つのクライアントだけがロックを保持できます。
可用性プロパティ A: デッドロックはありません。リソースをロックしたクライアントに障害が発生したり、別のディスクセグメントに到達したりした場合でも、最終的にロックを取得することは常に可能です。
可用性プロパティ B: フォールトトレランス。大部分の Redis ノードが実行されている限り、クライアントはロックを取得および解放できます。

この場合、障害回復に基づいた実装では不十分な理由
何を改善しようとしているのかを理解するために、Redis に基づくほとんどの分散ロックライブラリの現状を分析してみましょう。

Redis を使用してリソースをロックする最も簡単な方法は、インスタンスにキーを作成することです。通常、キーは有効期間が制限されて作成されます。これは Redis で提供される有効期限機能を使用して実現されるため、遅かれ早かれこのキーはリリースされます (リストのプロパティ 2)。クライアントはリソースを解放する必要がある場合、キーを削除します。

一見すると、このソリューションは非常にうまく機能しますが、問題があります。それは、アーキテクチャが単一障害点を作成しているということです。ホスト Redis インスタンスに障害が発生した場合はどうなりますか? それではスレーブを追加してみましょう！また、発表者が不在の場合にはそれを使用します。残念ながら、このオプションは実行できません。これを行うと、Redis のレプリケーションは非同期であるため、セキュリティを確保するために必要な相互排他プロパティを適切に実装できなくなります。

明らかに、このようなモデルでは競合状態が発生します。

クライアント A はマスターのロックを取得します。
キー入力がスレーブに転送される前に、マスターは失敗します。
フォロワーがリーダーに昇格します。
クライアント B は、A がすでにロックしているのと同じリソースのロックを取得します。 セキュリティ違反!

障害などの特殊な状況では、多くのクライアントが同時にロックを保持することが完全に正常な場合があります。このような場合には、レプリケーションベースのソリューションを適用できます。それ以外の場合は、この記事で説明されている解決策をお勧めします。

単一インスタンスによる正しい実装

上で説明した単一インスタンス構成の欠点を克服する前に、この単純なケースを適切に処理する方法を理解しましょう。この解決策は、競合状態が時々許容されるアプリケーションで実際に有効であり、また、インスタンス上でブロックが発生するためです。単一インスタンスは、ここで説明する分散アルゴリズムで使用される基礎として機能します。

ロックを取得するには、次の手順を実行します。

SET resource_name my_random_value NX PX 30000

このコマンドは、キーがまだ存在しない場合にのみキーをインストールし (NX オプション)、有効期間は 30000 ミリ秒 (PX オプション) です。キーは「」に設定されていますmyrandomvalue」この値は、すべてのクライアントおよびすべてのロック要求にわたって一意である必要があります。
基本的に、ロックを安全に解放するためにランダムな値が使用され、スクリプトは Redis に「キーが存在し、キーに格納されている値が期待どおりである場合にのみキーを削除する」ように指示します。これは、次の Lua スクリプトを使用して実現されます。

if redis.call("get",KEYS[1]) == ARGV[1] then
    return redis.call("del",KEYS[1])
else
    return 0
end

これは、別のクライアントが保持しているロックが削除されるのを防ぐために重要です。たとえば、クライアントはロックを取得し、その後、最初のロックよりも長く続く何らかの操作でロックされ (キーの有効期限が切れるまでに時間がかかるため)、その後、他のクライアントが設定したロックを削除する場合があります。
クライアントが別のクライアントが保持しているロックを削除できるため、単純な DEL の使用は安全ではありません。対照的に、上記のスクリプトを使用する場合、各ロックはランダムな文字列で「署名」されるため、以前にロックを設定したクライアントのみがロックを削除できます。

このランダムな文字列は何になるでしょうか? /dev/urandom から 20 バイトにする必要があると思いますが、目的に合わせて文字列を十分に一意にする安価な方法を見つけることができます。たとえば、RC4 に /dev/urandom をシードし、そこから擬似ランダムストリームを生成しても問題ありません。より単純な解決策には、マイクロ秒単位の UNIX 時間とクライアント ID の組み合わせが含まれます。それほど安全ではありませんが、おそらくほとんどの状況では十分に機能します。

キーの有効期間の尺度として使用する時間を「ロック有効期間」と呼びます。この値は、ロックが自動的に解放されるまでの時間と、実際に相互排他保証に違反することなく、別のクライアントがそのリソースをロックできるようになるまでにクライアントが操作を完了しなければならない時間の両方です。この保証は、ロックを購入した瞬間から開始される特定の期間にのみ限定されます。

そこで、ロックを取得および解放するための良い方法について説明しました。システム (常に利用可能な単一のインスタンスで構成される非分散システムについて話している場合) は安全です。この概念を、そのような保証がない分散システムに拡張してみましょう。

レッドロックアルゴリズム

アルゴリズムの分散バージョンでは、N 個の Redis マスターがあることを前提としています。これらのノードは互いに完全に独立しているため、レプリケーションやその他の暗黙的な調整システムは使用しません。単一インスタンスのロックを安全に取得および解放する方法についてはすでに説明しました。単一のインスタンスを操作する場合、アルゴリズムがまさにこのメソッドを使用することは当然のことだと考えています。この例では、N を 5 に設定します。これは妥当な値です。したがって、異なるコンピューターまたは仮想マシン上で 5 つの Redis マスターを使用して、それらが互いにほぼ独立して動作するようにする必要があります。

ロックを取得するには、クライアントは次の操作を実行します。

現在の時刻をミリ秒単位で取得します。
すべてのケースで同じキー名とランダムな値を使用して、N 個のインスタンスすべてのロックを順番に取得しようとします。ステージ 2 では、クライアントがインスタンスごとにロックを設定するとき、クライアントは、ロックが自動的に解放されるまでの時間と比較して十分に短い遅延を使用してロックを取得します。たとえば、ブロック期間が 10 秒の場合、遅延は約 5 ～ 50 ミリ秒の範囲になる可能性があります。これにより、クライアントが障害が発生した Redis ノードにアクセスしようとして長時間ブロックされたままになる状況が解消されます。インスタンスが利用できない場合は、できるだけ早く別のインスタンスに接続しようとします。
ロックを取得するために、クライアントは経過時間を計算します。これを行うには、ステップ 1 で取得したタイムスタンプを実際の時刻値から減算します。クライアントが大部分のインスタンス (少なくとも 3 つ) のロックを取得できた場合に限り、ロックにかかる合計時間はロックを取得するまでの期間がロック期間未満である場合、ロックは取得されたとみなされます。
ロックが取得されている場合、ロック期間は、元のロック期間からステップ 3 で計算された経過時間を引いたものとみなされます。
クライアントが何らかの理由でロックの取得に失敗した場合(N/2+1インスタンスをロックできなかったか、ロック期間が負であった場合)、すべてのインスタンス(ブロックできないと思われたインスタンスも含む)のロックを解除しようとします。）。

アルゴリズムは非同期ですか?

このアルゴリズムは、すべてのプロセスが動作する同期クロックは存在しないものの、各プロセスのローカル時間は依然としてほぼ同じペースで流れており、ロックが解除されるまでの合計時間と比較すると誤差は小さいという前提に基づいています。自動的に解放されます。この仮定は、通常のコンピューターに典型的な状況と非常によく似ています。つまり、各コンピューターにはローカルクロックがあり、通常、異なるコンピューター間の時間差は小さいという事実を当てにすることができます。

この時点で、相互排他ルールをより慎重に定式化する必要があります。相互排他は、ロックの有効期間 (ステップ 3 で取得したこの値) からさらにしばらくの時間 (合計で数秒) を差し引いた時間内に、ロックを保持しているクライアントが終了した場合にのみ保証されます。プロセス間の時間差を補正するためのミリ秒)。

次の興味深い記事では、時間間隔の調整が必要なこのようなシステムについて詳しく説明しています。リース: 分散ファイルキャッシュの一貫性を実現する効率的なフォールトトレラントメカニズム.

失敗時の再試行

クライアントがロックの取得に失敗した場合、ランダムな遅延の後に再試行する必要があります。これは、同じリソースのロックを同時に取得しようとする複数のクライアントを非同期化するために行われます (これにより、勝者が存在しない「スプリットブレイン」状況が発生する可能性があります)。さらに、クライアントが大部分の Redis インスタンスのロックを取得しようとする速度が速ければ速いほど、スプリットブレイン状況が発生する可能性があるウィンドウが狭くなります (再試行の必要性が少なくなります)。したがって、理想的には、クライアントは多重化を使用して N 個のインスタンスに SET コマンドを同時に送信しようとする必要があります。

ここで、大部分のロックの取得に失敗したクライアントが、リソースのロックを再度取得できるようになる前にキーの有効期限が切れるのを待つ必要がないように、(部分的に) 取得したロックを解放することがいかに重要であるかを強調する価値があります。 (ただし、ネットワークの断片化が発生し、クライアントが Redis インスタンスとの接続を失った場合は、キーの有効期限が切れるまで待機している間に可用性ペナルティを支払う必要があります)。

ロックを解除してください

ロックの解放は、クライアントが特定のインスタンスのロックに成功したかどうかに関係なく、すべてのインスタンスのロックを解除するだけの簡単な操作です。

セキュリティに関する考慮事項

アルゴリズムは安全ですか? さまざまなシナリオで何が起こるかを想像してみましょう。

まず、クライアントが大部分のインスタンスのロックを取得できたと仮定します。各インスタンスには、すべてのインスタンスに対して同じ有効期間を持つキーが含まれます。ただし、これらのキーはそれぞれ異なる時点でインストールされたため、異なる時点で有効期限が切れます。ただし、最初のキーが T1 (最初のサーバーに接続する前に選択した時間) よりも悪くない時間にインストールされ、最後のキーが T2 (応答を受信した時間) よりも悪くない時間にインストールされた場合は、最後のサーバーから）の場合、セット内の有効期限が切れた最初のキーは少なくとも存続すると確信します。 MIN_VALIDITY=TTL-(T2-T1)-CLOCK_DRIFT。他のすべてのキーは後で期限切れになるため、少なくとも現時点ではすべてのキーが同時に有効であることを確認できます。

ほとんどのキーが有効な間は、N/2+1 キーがすでに存在する場合、N/2+1 SET NX 操作は成功しないため、別のクライアントはロックを取得できません。したがって、一度ロックを取得すると、同時にロックを再度取得することはできません（相互排他性に違反します）。
ただし、同時にロックを取得しようとする複数のクライアントが同時に成功しないようにしたいと考えています。

クライアントが大部分のインスタンスを最大ロック期間以上ロックしている場合、クライアントはロックが無効であるとみなし、インスタンスのロックを解除します。したがって、クライアントが有効期限よりも短い時間内に大部分のインスタンスをブロックできた場合のみを考慮する必要があります。この場合、上記の議論に関して、その間、 MIN_VALIDITY クライアントはロックを再取得できません。したがって、多くのクライアントは、大部分をロックする時間が TTL 時間を超えてロックが無効になる場合にのみ、N/2+1 インスタンスを同時にロックできます (ステージ 2 の終わりで終了します)。

セキュリティの正式な証明を提供していただけますか、既存の同様のアルゴリズムを示していただけますか、または上記のバグを見つけていただけますか?

アクセシビリティに関する考慮事項

システムの可用性は、次の XNUMX つの主な特性によって決まります。

ロックを自動的に解放します (キーの有効期限が切れると): キーは最終的に再びロックに使用できるようになります。
通常、クライアントは、必要なロックが取得されていない場合、または取得されてジョブが完了した場合に、ロックを削除することで互いに助け合うという事実。そのため、ロックを再取得するためにキーの有効期限が切れるのを待つ必要はなくなる可能性があります。
クライアントがロックの取得を再試行する必要がある場合、ほとんどのロックの取得に必要な時間よりも比較的長い時間待機するという事実。これにより、リソースの競合時にスプリットブレイン状況が発生する可能性が低くなります。

ただし、ネットワークセグメントの TTL に等しい可用性ペナルティがあるため、連続したセグメントがある場合、ペナルティは無期限になる可能性があります。これは、クライアントがロックを取得し、それを解放する前に別のセグメントにリッピングするたびに発生します。

原理的には、ネットワークセグメントが無限に連続している場合、システムは無限の期間にわたって利用できない状態になる可能性があります。

パフォーマンス、フェイルオーバー、fsync

多くの人が Redis を使用するのは、ロックの取得と解放に必要なレイテンシー、および XNUMX 秒あたりに完了できる取得/解放の数の点で、高いロックサーバーのパフォーマンスが必要であるためです。この要件を満たすために、N 個の Redis サーバーと通信して待機時間を短縮する戦略があります。これは多重化戦略です (または「貧乏人の多重化」。ソケットがノンブロッキングモードになり、すべてのコマンドを送信し、後でコマンドを読み取ります。クライアントと各インスタンス間の往復時間が同様であると仮定します)。。

ただし、障害から確実に回復するモデルを作成しようとする場合は、データの長期保存に関連する考慮事項も考慮する必要があります。

基本的に、問題を明確にするために、長期データストレージをまったく使用しないで Redis を構成すると仮定します。クライアントは 3 つのインスタンスのうち 5 つをブロックすることに成功しました。クライアントがブロックできたインスタンスの 3 つが再起動されます。この時点では、同じリソースに対して再び XNUMX つのインスタンスがあり、これらをブロックできます。また、別のクライアントが再起動されたインスタンスをブロックし、セキュリティプロパティに違反する可能性があります。ロックの排他性を前提としています。

データ先行 (AOF) を有効にすると、状況はわずかに改善されます。たとえば、SHUTDOWN コマンドを送信して再起動することにより、サーバーを昇格できます。 Redis の有効期限操作は、サーバーがオフになっている場合でも時間が流れ続けるように意味的に実装されているため、すべての要件が満たされています。通常のシャットダウンが確保されている限り、これは正常です。停電の場合はどうすればよいですか? Redis がデフォルトで構成されており、fsync がディスク上で XNUMX 秒ごとに同期している場合、再起動後にキーがなくなる可能性があります。理論的には、インスタンスの再起動時にロックのセキュリティを保証したい場合は、 fsync=always 長期データ保存の設定で。これにより、分散ロックを安全に実装するために従来使用されてきた CP システムのレベルまでパフォーマンスが完全に低下します。

しかし、状況は一見したよりも良好です。原則として、障害後にインスタンスが再起動されると、インスタンスは現在アクティブなロックに参加しなくなるため、アルゴリズムのセキュリティは維持されます。

これを確実にするには、障害発生後、使用する最大 TTL をわずかに超える期間、インスタンスが利用できない状態が続くことを確認するだけで済みます。このようにして、有効期限が切れ、障害時にアクティブだったすべてのキーが自動的に解放されるまで待機します。

遅延再起動を使用すると、原理的には、Redis に長期的な永続性がない場合でもセキュリティを実現できます。ただし、アクセシビリティ違反として罰金が科される可能性があることに注意してください。たとえば、大部分のインスタンスに障害が発生した場合、システムは TTL に対してグローバルに使用できなくなります (この間、リソースはブロックされません)。

アルゴリズムの可用性を高めます。ブロックを拡張します。

クライアントが実行する作業が小さなステップで構成されている場合は、デフォルトのロック期間を短縮し、ロックを拡張するメカニズムを実装することができます。原則として、クライアントがコンピューティングでビジーであり、ロックの有効期限値が危険なほど低い場合、キーがまだ存在し、その値がまだ取得時に取得されたランダムな値であれば、キーの TTL を延長する Lua スクリプトをすべてのインスタンスに送信できます。ロックが取得されました。

クライアントは、有効期間内に大部分のインスタンスをロックできた場合にのみ、ロックの再取得を考慮する必要があります。

確かに、技術的にはアルゴリズムは変更されないため、ロックを取得する繰り返し試行の最大数を制限する必要があります。制限しないと、アクセシビリティのプロパティが侵害されます。

出所： habr.com

Redis を使用した分散ロック

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル