Аноним

Атомарная широковещательная рассылка: различия между версиями

Материал из WEGA

Атомарная широковещательная рассылка (посмотреть исходный код)

Версия от 03:26, 22 ноября 2024

284 байта добавлено ,  22 ноября 2024
→‎Литература
 
(не показано 14 промежуточных версий 1 участника)
Строка 6: Строка 6:




В работе Кристиана, Агили, Стронга и Долева [7] рассматривается задача атомарной широковещательной рассылки в системе с приблизительно синхронизированными часами и ограниченными задержками при передаче и обработке. Они представляют последовательные расширения алгоритма, позволяющие ему выносить ограниченное число пропусков, ошибок синхронизации или византийских ошибок, соответственно.
В работе Кристиана, Агили, Стронга и Долева [7] рассматривается задача атомарной широковещательной рассылки в системе с приблизительно синхронизированными часами и ограниченными задержками при передаче и обработке. Авторы представляют последовательные расширения алгоритма, позволяющие ему выносить ограниченное число пропусков, ошибок синхронизации или византийских ошибок, соответственно.


== Родственные работы ==
== Родственные работы ==
Строка 12: Строка 12:




Лэмпорт [11] предложил один из первых опубликованных алгоритмов для решения проблемы упорядочивания при рассылке сообщений в распределенных системах. Этот алгоритм, представленный как ядро алгоритма взаимного исключения, работает в полностью асинхронной системе (т. е. системе, в которой нет ограничений на скорость процессора или задержку связи), но не выносит сбоев. Хотя рассматриваемые ниже алгоритмы опираются на физические часы, а не на логические часы Лэмпорта, используемый для упорядочивания сообщений принцип, по сути, остался тем же: сообщения содержат временную метку времени их отправки и доставляются в порядке возрастания временной метки, используя имя процессора-отправителя для сообщений с одинаковыми временными метками.
Лэмпорт [11] предложил один из первых опубликованных алгоритмов для решения задачи упорядочивания рассылаемых сообщений в распределенных системах. Этот алгоритм, представленный как ядро алгоритма взаимного исключения, работает в полностью асинхронной системе (т. е. системе, в которой нет ограничений на скорость процессора или задержку связи), но не выносит сбоев. Хотя рассматриваемые ниже алгоритмы опираются на физические часы, а не на логические часы Лэмпорта, используемый для упорядочивания сообщений принцип, по сути, остался тем же: сообщения содержат временную метку времени их отправки и доставляются в порядке возрастания временных меток, используя имя процессора-отправителя для сообщений с одинаковыми временными метками.




Примерно в тот же период, когда впервые была опубликована работа Кристиана и др. [6], Чанг и Максемчук [3] предложили протокол атомарной широковещательной рассылки, основанный на протоколе передачи маркера и устойчивый к отказам процессоров. Кроме того, Карр [1] представил протокол глобального обновления Tandem, устойчивый к отказам процессоров.
Примерно в тот же период, когда впервые была опубликована работа Кристиана и др. [6], Чанг и Максемчук [3] предложили протокол атомарной широковещательной рассылки, основанный на протоколе передачи маркера и устойчивый к отказам процессоров. Карр [1] также представил протокол глобального обновления Tandem, устойчивый к отказам процессоров.




Позже Кристиан [5] предложил расширение представленного здесь алгоритма, устойчивое к пропускам, в предположении, что система коммуникации состоит из <math>f + 1</math> независимых широковещательных каналов (где <math>f</math> – максимальное количество сбойных процессоров). По сравнению с описываем ниже протоколом более общего вида это расширение генерирует значительно меньше сообщений.
Позже Кристиан [5] предложил расширение представленного здесь алгоритма, устойчивого к пропускам, в предположении, что система коммуникации состоит из <math>f + 1</math> независимых широковещательных каналов (где <math>f</math> – максимальное количество сбойных процессоров). По сравнению с описываем ниже протоколом более общего вида это расширение генерирует значительно меньше сообщений.




С момента выхода исследований Кристиана, Агили, Стронга и Долева [7] было опубликовано много работ, посвященных задаче атомарной широковещательной рассылки (и ее многочисленным вариантам). К примеру, Дефаго, Шипер и Урбан [8] рассмотрели более шестидесяти различных алгоритмов решения этой задачи, разделив их на пять различных классов и двенадцать вариантов. В упомянутом обзоре также рассмотрено множество альтернативных определений и приведены ссылки на примерно две сотни статей, связанных с этой темой. Эта область исследований по-прежнему очень активна, и каждый год публикуется множество новых результатов.
С момента выхода исследования Кристиана, Агили, Стронга и Долева [7] было опубликовано множество работ, посвященных задаче атомарной широковещательной рассылки (и ее многочисленным вариантам). К примеру, Дефаго, Шипер и Урбан [8] рассмотрели более шестидесяти различных алгоритмов решения этой задачи, разделив их на пять различных классов и двенадцать вариантов. В упомянутом обзоре также рассмотрено множество альтернативных определений и приведены ссылки на примерно две сотни статей, связанных с этой темой. Эта область исследований по-прежнему очень активна, и каждый год публикуется множество новых результатов.




Строка 27: Строка 27:




Чандра и Туэг [2] доказали эквивалентность между атомарной широковещательной рассылкой и ''задачей о достижении консенсуса''. Таким образом, любая задача, решаемая с помощью консенсуса, может быть решена с помощью атомарной широковещательной рассылки – и наоборот. Аналогичным образом, результаты о невозможности одинаково применимы к обеим задачам. Например, хорошо известно, что задача о достижении консенсуса, а значит и об организации атомарной широковещательной рассылки, не могут быть решены детерминированно в асинхронной системе в присутствии сбойного процесса [9].
Чандра и Туэг [2] доказали эквивалентность между атомарной широковещательной рассылкой и ''задачей о достижении консенсуса''. Таким образом, любая задача, решаемая с помощью консенсуса, может быть решена с помощью атомарной широковещательной рассылки – и наоборот. Аналогичным образом, результаты о невозможности одинаково применимы к обеим задачам. Например, хорошо известно, что задача о достижении консенсуса, а значит, и об организации атомарной широковещательной рассылки, не может быть решена детерминированным образом в асинхронной системе в присутствии сбойного процесса [9].


== Нотация и предположения ==
== Нотация и предположения ==
Система G состоит из n распределенных процессоров и m каналов двухточечной связи. Канал не обязательно имеется между каждой парой процессоров, но предполагается, что коммуникационная сеть остается связной даже при наличии сбоев (как процессоров, так и каналов). Все процессоры имеют уникальные имена, и на них существует полный порядок (например, лексикографический).
Система G состоит из n распределенных процессоров и m каналов двухточечной связи. Канал не обязательно имеется между каждой парой процессоров, но предполагается, что коммуникационная сеть остается связной даже при наличии сбоев (как процессоров, так и каналов). Все процессоры имеют уникальные имена, над которыми существует полный порядок (например, лексикографический).




Компонент (канал или процессор) считается ''исправным'', если его поведение соответствует спецификации, и ''сбойным'' в противном случае. Далее рассматриваются три класса отказов компонентов, а именно: пропуски, ошибки синхронизации и византийские ошибки.
Компонент (канал или процессор) считается ''исправным'', если его поведение соответствует спецификации, и ''сбойным'' в противном случае. Далее рассматриваются три класса сбоев компонентов, а именно: пропуски, ошибки синхронизации и византийские ошибки.


• ''Пропуск'' имеет место, когда сбойный компонент не способен выдать заданный выходной результат (примером может служить потеря сообщения).
• ''Пропуск'' имеет место, когда сбойный компонент не способен выдать заданный выходной результат (примером может служить потеря сообщения).
Строка 39: Строка 39:
• ''Ошибка синхронизации'' имеет место, когда сбойный компонент пропускает выдачу заданного результата либо выдает его слишком рано или слишком поздно.
• ''Ошибка синхронизации'' имеет место, когда сбойный компонент пропускает выдачу заданного результата либо выдает его слишком рано или слишком поздно.


• ''Византийская ошибка'' [12] (также известная как «задача византийских генералов» [https://ru.wikipedia.org/wiki/%D0%97%D0%B0%D0%B4%D0%B0%D1%87%D0%B0_%D0%B2%D0%B8%D0%B7%D0%B0%D0%BD%D1%82%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D1%85_%D0%B3%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%D0%BB%D0%BE%D0%B2]) имеет место в случае, когда компонент ведет себя не в соответствии со своей спецификацией – например, предоставляет выходной результат, отличный от заданного. В частности, рассматриваются обнаруживаемые с помощью аутентификации византийские ошибки, то есть такие, которые можно обнаружить с помощью протокола аутентификации сообщений, такого как коды исправления ошибок или цифровые подписи.
• ''Византийская ошибка'' [12] (также известная как «задача византийских генералов» [https://ru.wikipedia.org/wiki/%D0%97%D0%B0%D0%B4%D0%B0%D1%87%D0%B0_%D0%B2%D0%B8%D0%B7%D0%B0%D0%BD%D1%82%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D1%85_%D0%B3%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%D0%BB%D0%BE%D0%B2]) имеет место в случае, когда компонент ведет себя не в соответствии со своей спецификацией – например, предоставляет выходной результат, отличный от заданного. В частности, рассматриваются византийские ошибки, то есть такие, которые можно обнаружить с помощью протокола аутентификации сообщений, примером которого могут служить коды исправления ошибок или цифровые подписи.




Строка 45: Строка 45:




Кроме того, задержки при передаче и обработке данных, измеренные по часам исправного процессора, ограничены известной константой <math>\delta</math>. Это ограничение учитывает не только задержки при передаче и обработке, но и задержки, связанные с составлением расписания, перегрузкой, дрейфом или корректировкой часов. Такая модель называется моделью синхронной системы.
Кроме того, задержки при передаче и обработке данных, измеренные по часам исправного процессора, ограничены известной константой <math>\delta</math>. Это ограничение распространяется не только на задержки при передаче и обработке, но и на задержки, связанные с составлением расписания, перегрузкой, дрейфом или корректировкой часов. Такая модель называется моделью синхронной системы.




Временем рассеяния <math>d \delta</math> называется время, необходимое для распространения информации до всех корректных процессов в сохранившейся сети диаметром d при наличии не более <math>\lambda</math> отказов процессоров и A отказов каналов связи.
Временем рассеяния <math>d \delta</math> называется время, необходимое для распространения информации до всех корректных процессов в исправной сети диаметром d при наличии не более <math>\pi</math> отказов процессоров и <math>\lambda</math> отказов каналов связи.


== Постановка задачи ==
== Постановка задачи ==
Строка 67: Строка 67:




В настоящее время авторы работ часто предпочитают определения задач атомарной широковещательной рассылки, не содержащие явных ссылок на физическое время. Множество вариантов определений без времени рассмотрено в работах Хадзилакоса и Туэга [10], а также Дефаго и др. [8]. Одно из таких альтернативных определений представлено ниже, а терминология адаптирована к контексту данной статьи.
В настоящее время авторы работ часто предпочитают определения задач атомарной широковещательной рассылки, не содержащие явных ссылок на физическое время. Множество вариантов определений без времени рассмотрено в работах Хадзилакоса и Туэга [10], а также Дефаго и др. [8]. Одно из таких альтернативных определений представлено ниже, его терминология адаптирована к контексту данной статьи.




Строка 76: Строка 76:
'''Требуется''': обеспечить последовательную доставку сообщений со следующими свойствами:
'''Требуется''': обеспечить последовательную доставку сообщений со следующими свойствами:


1. '''Допустимость''': если исправный процессор рассылает сообщение m, то он в конечном итоге доставляет m.
1. '''Достоверность''': если исправный процессор рассылает сообщение m, то он в конечном итоге доставляет m.


2. '''Равномерная согласованность''': если процессор доставляет сообщение m, то все исправные процессоры в конечном итоге доставляют m.
2. '''Равномерная согласованность''': если процессор доставляет сообщение m, то все исправные процессоры в конечном итоге доставляют m.
Строка 82: Строка 82:
3. '''Равномерная целостность''': для любого сообщения m каждый процессор доставляет его не более одного раза, и только если m было ранее передано процессором-отправителем.
3. '''Равномерная целостность''': для любого сообщения m каждый процессор доставляет его не более одного раза, и только если m было ранее передано процессором-отправителем.


4. '''Равномерный полный порядок без пробелов''': если некоторый процессор доставляет сообщение m0 после сообщения m, то он доставляет m0 только после того, как он доставил m.
4. '''Равномерный полный порядок без пробелов''': если некоторый процессор доставляет сообщение m' после сообщения m, то он доставляет m' только после того, как он доставил m.


== Основные результаты ==
== Основные результаты ==
Строка 89: Строка 89:




Все три протокола основаны на классическом алгоритме затопления, или рассеяния информации [14]. Каждое сообщение содержит временную метку T, имя инициирующего процессора s и обновление <math>\sigma</math>. Сообщение однозначно идентифицируется по паре (s, T). Основной протокол прост. Каждый процессор регистрирует каждое полученное сообщение до тех пор, пока оно не будет доставлено. Когда он получает сообщение, которого никогда не встречал раньше, он пересылает его всем соседним процессорам.
Все три протокола основаны на классическом алгоритме затопления, или рассеяния информации [14]. Каждое сообщение содержит временную метку T, имя инициирующего процессора s и обновление <math>\sigma</math>. Сообщение однозначно идентифицируется по паре (s, T). Основной протокол прост. Каждый процессор хранит в журнале каждое полученное сообщение до тех пор, пока оно не будет доставлено. Когда он получает сообщение, которого никогда не встречал раньше, он пересылает его всем соседним процессорам.




'''Атомарная широковещательная рассылка при сбоях типа «пропуск»'''
'''Атомарная широковещательная рассылка при сбоях типа «пропуск»'''


Первый протокол атомарной широковещательной рассылки, поддерживающий сбои типа «пропуск», рассматривает время завершения <math>\Delta_0</math> следующим образом.
Первый протокол атомарной широковещательной рассылки, поддерживающий сбои типа «пропуск», рассматривает время завершения <math>\Delta_o</math> следующим образом:


(1) <math>\Delta_0 = \pi \delta + d \delta + \varepsilon</math>.
(1) <math>\Delta_o = \pi \delta + d \delta + \varepsilon</math>.




Крайний срок доставки <math>T + \Delta_0</math>o – это время, к которому процессор может быть уверен, что он получил копии всех сообщений с временной меткой T (или более ранними), которые могли быть получены некоторым исправным процессом.
Крайний срок доставки <math>T + \Delta_o</math>o – это время, к которому процессор может быть уверен, что он получил копии всех сообщений с временной меткой T (или более ранними), которые могли быть получены некоторым исправным процессом.




Протокол работает следующим образом. Когда процессор инициирует атомарную широковещательную рассылку, он распространяет это сообщение, аналогично описанному выше алгоритму рассеяния. Основным исключением является то, что каждое сообщение, полученное после того, как показания локальных часов превысили крайний срок доставки этого сообщения, отбрасывается. Затем в локальное время <math>T + \Delta_0</math> процессор доставляет все сообщения, помеченные временной меткой T, в порядке возрастания имени отправляющего процессора. Наконец, он удаляет все копии сообщений из своих журналов.
Протокол работает следующим образом. Когда процессор инициирует атомарную широковещательную рассылку, он распространяет это сообщение, аналогично описанному выше алгоритму рассеяния. Основным исключением является то, что каждое сообщение, полученное после того, как показания локальных часов превысили крайний срок доставки этого сообщения, отбрасывается. Затем в локальное время <math>T + \Delta_o</math> процессор доставляет все сообщения, помеченные временной меткой T, в порядке возрастания имени отправляющего процессора. Наконец, он удаляет все копии сообщений из своих журналов.




'''Атомарная широковещательная рассылка при сбоях типа «ошибка синхронизации»'''
'''Атомарная широковещательная рассылка при сбоях типа «ошибка синхронизации»'''


Второй протокол расширяет первый, добавляя к сообщениям счетчик переходов (т. е. счетчик, увеличивающийся на 1 при каждой передаче сообщения). С помощью этой информации каждый передающий процессор может определить, когда сообщение является своевременным, то есть если сообщение с временной меткой T и счетчиком переходов h получено в момент времени U, то должно выполняться следующее условие:
Второй протокол расширяет первый, добавляя к сообщениям счетчик переходов (т. е. счетчик, увеличивающийся на 1 при каждой передаче сообщения). С помощью этой информации каждый передающий процессор может определить, является ли сообщение своевременным: если сообщение с временной меткой T и счетчиком переходов h получено в момент времени U, то должно выполняться следующее условие:


(2) <math> T - h \varepsilon < U < T + h(\delta + \varepsilon)</math>.
(2) <math> T - h \varepsilon < U < T + h(\delta + \varepsilon)</math>.
Строка 123: Строка 123:


Пусть имеется некоторый текст. Предполагается, что каждый процессор может сгенерировать для него подпись, которую не смогут подделать другие процессоры. Кроме того, каждый процессор знает имя каждого другого процессора в сети и имеет возможность проверить подлинность его подписи.
Пусть имеется некоторый текст. Предполагается, что каждый процессор может сгенерировать для него подпись, которую не смогут подделать другие процессоры. Кроме того, каждый процессор знает имя каждого другого процессора в сети и имеет возможность проверить подлинность его подписи.
Исходя из вышеуказанных предположений, третий протокол трансляции расширяет второй, добавляя к сообщениям подписи. Чтобы процессор (или канал связи) при использовании «византийского» протокола не мог подделать счетчик переходов, сообщение подписывается каждым процессором, который его передает. Например, сообщение, подписанное к процессорами <math>p_1, ..., p_k</math> выглядит следующим образом:
 
 
Исходя из вышеуказанных предположений, третий протокол трансляции расширяет второй, добавляя к сообщениям подписи. Чтобы процессор (или канал связи) при использовании «византийского» протокола не мог подделать счетчик переходов, сообщение подписывается каждым процессором, который его передает. Например, сообщение, подписанное k процессорами <math>p_1, ..., p_k</math>, выглядит следующим образом:


<math>(relayed,... (relayed, (first, T, \sigma, p_1, s_1), p_2, s_2), ..., p_k, s_k)</math>.  
<math>(relayed,... (relayed, (first, T, \sigma, p_1, s_1), p_2, s_2), ..., p_k, s_k)</math>.  




Здесь <math>\sigma</math> – обновление, T – временная метка, <math>p_1</math> – источник сообщения, а <math>s_i</math> – подпись, сгенерированная процессором <math>p_i</math>. Любое сообщение, для которого одна из подписей не может быть аутентифицирована, просто отбрасывается. Кроме того, если несколько обновлений, инициированных одним и тем же процессором p, имеют одинаковую временную метку, это означает, что данный процессор неисправен, и соответствующие обновления отбрасываются. Оставшаяся часть протокола аналогична второму случаю, где количество переходов определяется количеством подписей. Время завершения <math>\Delta_b</math> также вычисляется следующим образом:
Здесь <math>\sigma</math> – обновление, T – временная метка, <math>p_1</math> – источник сообщения, а <math>s_i</math> – подпись, сгенерированная процессором <math>p_i</math>. Любое сообщение, для которого одна из подписей не может быть аутентифицирована, просто отбрасывается. Кроме того, если несколько обновлений, инициированных одним и тем же процессором p, имеют одинаковую временную метку, это означает, что данный процессор неисправен, и соответствующие обновления отбрасываются. Оставшаяся часть протокола аналогична второму случаю, считая, что количество переходов определяется количеством подписей. Время завершения <math>\Delta_b</math> также вычисляется следующим образом:


(4) <math>\Delta_b = \pi (\delta + \varepsilon) + d \delta + \varepsilon</math>.
(4) <math>\Delta_b = \pi (\delta + \varepsilon) + d \delta + \varepsilon</math>.




Однако в этом случае время передачи 8 должно быть значительно больше, чем в предыдущем, поскольку оно должно учитывать время, затрачиваемое на генерацию и проверку цифровых подписей, что обычно является дорогостоящей операцией.
Однако в этом случае время передачи <math>\delta</math> должно быть значительно больше, чем в предыдущем, поскольку оно должно учитывать время, затрачиваемое на генерацию и проверку цифровых подписей, что обычно является дорогостоящей операцией.


== Границы ==
== Границы ==


В дополнение к трем представленным выше протоколам и их корректности, Кристиан и коллеги [ ] доказали следующие две нижних границы на время завершения протоколов атомарной широковещательной рассылки.
В дополнение к трем представленным выше протоколам и их корректности, Кристиан и коллеги [7] доказали следующие две нижних границы на время завершения протоколов атомарной широковещательной рассылки.




'''Теорема 1. Если коммуникационная сеть G требует x шагов, то любой протокол атомарной широковещательной рассылки, способный перенести до ж отказов процессоров и X отказов каналов связи, имеет время завершения не менее xS + ".'''
'''Теорема 1. Если коммуникационная сеть G требует <math>x</math> шагов, то любой протокол атомарной широковещательной рассылки, допускающий до <math>\pi</math> отказов процессоров и <math>\lambda</math> отказов каналов связи, имеет время завершения не менее <math>x \delta + \varepsilon</math>.'''
   
   


'''Теорема 2. Любой протокол атомарной широковещательной рассылки для гамильтоновой сети с n процессорами, допускающий n - 2 аутентифицируемых византийских ошибки процессоров, не может иметь время завершения меньше (n - 1)(<5 + ").'''
'''Теорема 2. Любой протокол атомарной широковещательной рассылки для гамильтоновой сети с n процессорами, допускающий n - 2 выявляемых с помощью аутентификации византийских ошибок процессоров, не может иметь время завершения меньше <math>(n - 1)(\delta + \varepsilon)</math>.'''


== Применение ==
== Применение ==


Основной мотивацией для рассмотрения этой проблемы является ее использование в качестве краеугольного камня для обеспечения отказоустойчивости путем репликации процессов. В частности, рассматривается синхронное реплицированное хранилище, определямое как распределенная и устойчивая система хранения, отображающая одно и то же содержимое на каждом исправном физическом процессоре в любой момент времени. Использование атомарной широковещательной рассылки для доставки обновлений гарантирует, что все обновления будут применены на всех исправных процессорах в одном и том же порядке. Таким образом, при условии, что реплики изначально были согласованы, они будут оставаться согласованными. Эта техника, называемая репликацией конечного автомата [11, 13] или активной репликацией, широко используется на практике как средство поддержки отказоустойчивости в распределенных системах.
Основной мотивацией для рассмотрения этой проблемы является ее использование в качестве краеугольного камня для обеспечения отказоустойчивости путем репликации процессов. В частности, рассматривается ''синхронное реплицированное хранилище'', определяемое как распределенная и устойчивая система хранения, отображающая одно и то же содержимое на каждом исправном физическом процессоре в любой момент времени. Использование атомарной широковещательной рассылки для доставки обновлений гарантирует, что все обновления будут применены на всех исправных процессорах в одном и том же порядке. Таким образом, при условии, что реплики изначально были согласованы, они будут оставаться согласованными. Эта техника, называемая ''репликацией конечного автомата'' [11, 13] или ''активной репликацией'', широко используется на практике как средство поддержки отказоустойчивости в распределенных системах.




Напротив, Кристиан и др. [ ] рассматривают атомарную широковещательную рассылку в синхронной системе с ограниченными задержками при передаче и обработке. Целью работы авторов была реализация реплицируемой системы хранения данных высокой надежности с сильно связанными процессорами под управлением операционной системы, работающей в реальном времени.
Напротив, Кристиан и др. [7] рассматривают атомарную широковещательную рассылку в ''синхронной'' системе с ограниченными задержками при передаче и обработке. Целью работы авторов была реализация реплицируемой системы хранения данных высокой надежности с сильно связанными процессорами под управлением операционной системы, работающей в реальном времени.




Строка 162: Строка 164:
* [[Причинно-следственное упорядочение, логические часы, репликация конечного автомата]]
* [[Причинно-следственное упорядочение, логические часы, репликация конечного автомата]]
* [[Синхронизация часов]]
* [[Синхронизация часов]]
* [[Детекторы отказов]]
* [[Детекторы сбоев]]


== Литература ==
== Литература ==
Строка 194: Строка 196:


15. Wiesmann, M., Schiper, A.: Comparison of database replication techniques based on total order broadcast. IEEE Trans. Knowl. Data Eng. 17, 551-566 (2005)
15. Wiesmann, M., Schiper, A.: Comparison of database replication techniques based on total order broadcast. IEEE Trans. Knowl. Data Eng. 17, 551-566 (2005)
[[Категория: Совместное определение связанных терминов]]
Источник — http://pco.iis.nsk.su/wega/index.php/Служебная:Сравнение_версий/15540...15579