软件体系结构6、软件质量属性2.pptVIP

错误恢复战术: 备件Spare 是配置好以用于替代许多不同的故障组件的备用计算平台。 出现故障时，必须将其重启为适当的软件配置，并对其状态进行初始化 需要定期设置持久设备的系统状态的检查点，并记录持久设备的所有状态变化，以使得备用件在需要时能够设置为适当的状态 宕机时间常为分钟级 有的时候，新的组件在同一计算平台启动 错误恢复战术: 备件Spare（2） 错误恢复战术: Shadow操作 一个出现故障的组件，可以在短时间内以“shadow模式”运行，以确保在恢复该组件之前，其行为是正确的。 错误恢复战术: 状态再同步 主动、被动冗余和备件战术要求组件在提供服务之前，要更新其状态 更新方法取决于 宕机时间 更新规模 更新所要求的消息数量 如果可能的话，最好用一条消息包含该状态。增量式状态更新和两个增量之间的服务周期会导致复杂的软件 错误恢复战术: 检查点/回滚 检查点就是记录所创建的一致状态，其创建或者是定期进行，或者是对具体事件作出响应。 有时系统会以一种不同寻常的方式出现故障，可检测到其状态不一致。在这种情况下，应该使用上一个一致状态检查点和拍了快照后所发生的事务日志来恢复系统 错误恢复战术: 检查点/回滚（2） 多说几句：状态 不同层次 软件系统状态 进程状态 对象状态 只要希望在恢复后，能够恢复失效以前的状态，那么这个状态就需要存在另外的地方 另一台机器或另一个进程的内存中 外存中 为方便状态数据的提取、更新，需要对系统中的状态数据的组织和分布进行慎重的考虑 状态的同步技术举例 进程内存不存任何状态，所有状态数据放在数据库或文件等中 数据库复制：利用数据库本身对数据的协调性支持。有同步复制和异步复制。 同步协调缓存：将在数据项的本地更新和将更新传递到其他服务器之间同步进行，必须有一个原子操作。 异步协调缓存：在数据项的本地更新和将更新传递到其他服务器之间引入一个延迟。 错误预防战术 从服务中删除 事务 进程监视器 错误预防战术: 从服务中删除 该战术从操作中删除了系统的一个组件，以执行某些活动来防止预期发生的故障 如：重新启动组件，以防止内存泄漏导致故障的发生 从服务中删除，可以是 自动 手工 错误预防战术: 事务 事务就是绑定了几个有序的步骤，以能够立刻撤销整个绑定 如果一个步骤失败，可以使用事务来防止任何数据受到影响 可以使用事务来防止访问相同数据的几个同时线程之间发生冲突 错误预防战术: 事务（2） 错误预防战术: 进程监视器 一旦检测到进程中存在错误，监视进程就可以删除非执行进程，并为该进程创建一个新的实例，并将其初始化为相应的状态 谁监视进程监视器？ 错误预防战术: 进程监视器（2） * * * After repairing a component, have it run in shadow mode and check whether results agree with those of a functional component. A previously failed component may be run in “shadow mode” for a short time to make sure that it mimics the behavior of the working components before restoring it to service. * 计算机系统高可用性探究 质量属性及其相关策略 性能performance 可用性availability 可修改性modifiability 安全性security 可测试性testability 易用性usability 可用性Availability 可用性与系统故障及其相关的后果有关 当系统不再提供其规范中所说明的服务时，就出现了系统故障 系统用户可以观测到此类故障 系统用户是人或其它系统 故障（Failure）和错误（Fault）的区别 系统的用户可以观察到故障，但看不到错误 当观察到错误时，它实际上已经变为故障 如果不进行纠正，错误有可能会变成故障 定义 The availability of a system is the probability that it will be operational when it is needed.系统正常运行的时间比例 Scheduled downtimes are not usually considered when calculating availability.预定的停机（停止服务）时间不考虑。 Mean time to failure 平均正常工作时间 Mean time to failure + mean time