分布式系统的可靠性.pptxVIP

第8章分布式系统的可靠性

基本模型《分布式系统》(八)20112分布式系统的一个重要目标是获取高度的可依赖性（Dependability）。可依赖性的概念包括以下三个方面：可靠性：在错误存在的情况下持续服务的能力。安全性：不出现灾难性错误的能力。保密性：指避免、或承受对系统进行的故意性攻击的能力。本章重点关注可依赖性中的可靠性，即故障、错误或失效（faults,errors,orfailures，这些概念通用）的检测和处理。

基本模型《分布式系统》(八)20113分布式系统可靠性的目标是当故障发生时，确保系统的全局一致性。即确保系统具备容错能力。故障来源于如下4类：节点（硬件）故障：物理硬件故障；程序（软件）故障：软件设计或编码错误；通讯故障：通信介质故障；时序故障：物理故障导致运行时序错误。

基本模型《分布式系统》(八)20114要确保系统具备容错能力，通常使用冗余技术。有四种冗余类型：硬件冗余：如额外的PE、I/O系统等。软件冗余：如软件模块的额外版本。信息冗余：如使用了额外位数的错误检测代码。时间冗余：如用来完成系统功能的附加时间。

基本模型《分布式系统》(八)20115有三种基本的处理故障的方法：主动复制。所有的复制模块协同进行，并且它们的状态紧密同步。被动复制。由唯一的一个处于主动的模块设定定期检查点，定期更新其它模块的交互状态。半主动复制。是主动复制和被动复制的混合。此种方法所需的恢复开销相对较低。主动复制用到了错误屏蔽的概念，即隐藏出现的故障或防止故障造成错误结果。被动复制，又称为动态方法，它通过从系统中检测错误的存在，并采取一定措施转移错误元件来获得容错。

基本模型《分布式系统》(八)20116故障检测可被分为两类：外部检测：将检测节点失效的职责赋予节点的外部附件（或其它节点）。但需防止检测者本身故障、检测者和被检测者间通信故障时导致的误检（误报）。内部检测将检测机制置于一个节点内部（自检）。通常假定内部有一个可以完全信赖的“硬核”（hardcore）检测元件，“硬核”不受节点故障的冲击。完全做到这一点其实是很难的。通常结合使用外部检测方法和内部检测方法，以得到一个有效的故障检测方案。故障检测的技术实施手段包括：通信应答超时、编码校验、结果比较等。

基本模型《分布式系统》(八)20117处理软件故障通常采用两个软件模型：基于进程的模型：一个应用程序由一连串协同作业的进程组成，如[P1‖P2‖…‖Pn]。基于对象的模型：一个应用程序由一连串对象组成，每一个对象都是一个独立的原子操作。通过很好定义的界面访问，就可以获得对象的封装。我们的讨论中，以基于进程的模型为例。

容错系统设计的构件模块《分布式系统》(八)20118稳定存储器故障－停止处理器具备容错能力的、可靠的分布式系统中涉及到三种逻辑实体，包括二种构件模块：原子操作和一个用于构件模块的：

稳定存储器《分布式系统》(八)20119稳定存储器是在系统失效的情况下，可以躲过系统错误的特定存储空间的抽象概念。也就是说，稳定存储器空间里的内容不被一个失效所摧毁。存储器的两个基本操作是读和写，稳定存储器的目标是在系统失效的情况下，屏蔽不希望的事件，正确地执行读、写操作。

稳定存储器《分布式系统》(八)201110对于读read(address:a)来说，返回（status：goodorbad,data:d），其不希望结果包括：a是好的，但读取返回bad；同上，而且后来的读也返回bad；a是坏的，但读取返回good；或者a是good，但读取返回不同的数据d。对于写write(address:a,data:d)来说，其不希望的结果：a保持不变，而d变为不同的数据d；a变为(bad,d)。一个理想的稳定存储器：读总是返回正确的结果，写总是成功。

稳定存储器－RAID《分布式系统》(八)201111数组种类英文简述硬盘容错吗?N个硬盘可用容量RAIDlevel0Stripe/Span（分条/分跨）NoNRAIDlevel1Mirror（镜像）YesN/2RAIDlevel3ParallelwithParity（分条奇偶校验）YesN-1RAIDlevel4ParallelwithParity（分区奇偶校验）YesN-1RAIDlevel5StripedwithRotatingParityYesN-1RAIDlevel0+1Mirror+StripeYesN/2获得适宜的稳定存储器的一个方法是使用RAID技术（RedundantArraysofInexpensiveDisks，廉价磁盘冗余阵列）。目前常用的有下列RAID技术：

故障-停止处理器《分布式系统》(八)20