长期完整性的分层容错 论文翻译.docVIP

窗体顶端 长期完整性的分层容错秉健春，佩特罗斯曼尼阿蒂斯英特尔研究大学伯克利分校斯科特Shenker，约翰Kubiatowicz美国加州大学伯克利分校摘要通常，容错服务有关的假设类型和故障，他们可以容忍的最大数量这种故障时，同时提供其正确性的保证;阈值是侵犯性，正确性丢失。我们重新审视的概念在长期归档存储方面的故障阈值。我们注意到，故障阈值不可避免地长期违反服务，使得传统的容错不适用长期的。在这项工作中，我们进行的“再分配容错预算“的一项长期的服务。我们分裂投入服务件的服务，每一个都可以容忍不同没有失败的故障数（并不会造成整个服务失败）：每件可在一个关键值得信赖的过错层，它必须永远不会失败，或不可信的故障层，它可以大量经常失败，或其他故障层次之间。通过仔细工程的一项长期的服务分裂成片，必须服从不同的故障阈值，我们可以延长其必然灭亡。我们证明了这一点做法Bonafide，一个长期的key - value存储，与所有类似的文献中提出的系统，在保持完整性面对拜占庭故障，无需自我认证的数据。我们描述了分层容错的概念，设计，实施，Bonafide和实验评价，并主张我们的做法是一个实际仍未显著改善在长期服务的艺术状态。一，引言当前容错复制服务设计往往不适合长期的应用，如档案，数字文物，这是越来越重要的存储[42]，为企业的监管[5，6]，文化[36]原因。从典型的故障假设这不合适结果这类系统的正确性空调。例如，在典型的拜占庭容错（BFT）系统[13]，它是假定复制故障副本的数目总是比一些不太固定阈值，如副本人口的1 / 3。在典型的“短期”的应用，这样一个uniformthreshold基于故障假设是合理的，可以实现的。例如，可以说在一个wellmaintained人口多元化，高保证副本服务器，由当时总人口的三分之一被打破生长进入或刚刚出现故障，故障副本的运营商可以修复它??们。因此，维修的数量减少有缺陷的副本，可避免出现违反阈值，从而保持系统的故障假设不可侵犯。不幸的是，这种推理分崩离析的应用部署一个长期的地平线，说几十年。而人口副本服务器可以振振有词“以及维护”足够数年，它是完美一时难以保障在长途的门槛违反。即使不可能相关的故障成为可能??，给予足够的[10]。一旦违反阈值，然而简短的一段时间，系统的故障假设是侵犯，和正确性再也不能保证在任何时候之后的时间（2.1节）。在这项工作中，我们专注于存储应用与长期视野和设计复制的服务模式适合他们。我们观察到的，系统的可靠性在长时间跨度的组件可以显着不同。首先，复杂的，但正式未经认证的软件神器可能容易表现出的脆弱性;它和错误之间的所有时隔判决一个人的程序员。然而，正式验证展出软件工件可能需要更长的时间弱点：它不会表现出的错误反对它进行了验证，但也许假设下验证其正确性后，一个可能不再持有激进的技术变化（认为过渡作为这种变化的多处理器）的单处理器。到这种极端的理由，受信任的第三方，“组件”分布式服务，如根DNS服务器可能需要更长的时间以失败告终：例如，即使如果所有涉及硬件和软件组件作为指定的，可信的组件可能会失败，如果组织经营出卖给犯罪分子。我们认为而这种差异可能是深奥和短期服务的实际意义，它可能是一个无法回避的考虑长期应用。这个观察，带领我们到一个分层的故障框架如复制应用（2.2节）。这框架分割成不同的系统组件用于例如，软件和硬件;类写操作是在从不同的软件类用于只读操作和硬件。该框架将在所有节点上的一类的组成部分分别从另一个类，分配的组成部分层每个类一个单独的故障。更喜欢传统模型，在每一层的故障假设基于阈值的，但实际的阈值不同于层与层。例如，故障假设写操作组件的人口可能是一个典型BFT系统1/3threshold，而故障读操作组件的人口门槛可能会更高。没有这一提法的魔力：每个故障层本身就是受了故障阈值。然而，这种多层次的方法使我们的结构一个制度，以便在不违反操作不再其整体的故障假设。一个非正式可以查看这种分层的故障框架作为一个“重新分配的可靠性预算”在不同的硬件和软件组件跨越时间。这更强的故障框架意味着每个组件类不同的业务做法：高信任度的组件都必须正式核实，然后才部署，这可能意味着，他们只能在有限的功能或者说，他们经常运行，并简要大多脱线，以减少他们的攻击面而低信任的组件，可能会更大，buggier，连续运行。为了使事情具体，我们研究某类长期应用：一个真正的长期的键值商店。这样的设施是有用的，例如，作为一个寻找敏感数据给予一个humanmemorable的目录名称。一个例子是selfcertifying目录