时钟问题的解释
不需要完全一致,允许有误差,只要是不超过误差范围锁失效时间就可以
对于对方提到的时钟修改问题,反驳:
- 手动修改时钟:停止这种做法
- 时钟跳跃:通过恰当的运维,保证机器时钟不会大幅度跳跃,每次通过微小的调整来完成
网络延迟和GC问题
在Redlock流程里,如果步骤1~3发生了网络延迟、进程GC等耗时很长的异常情况,那么步骤3里是可以检测出来的,如果time2-time1超过了锁设置的超过时间,会认为加锁失败并释放所有锁。
如果对方认为,发生网络延迟、进程GC是在步骤3以后,也就是 客户端拿到了锁,但是在操作共享资源的过程里出现了问题导致锁失效,那任何的锁服务如zk,都有类似的问题
总结一下就是:
- 客户端在拿到锁之前,无论经历什么耗时长问题,Redlock 都能够在步骤3检测出来
- 客户端在拿到锁之后,发生 NPC,那 Redlock、Zookeeper 都无能为力
质疑fecing token机制
第一,这个方案必须要求要操作的共享资源服务器有拒绝旧token的能力
比如,操作MySQL,从锁服务里拿到一个递增数字的token,然后客户端要带着这个token去改MySQL的某一行,就需要利用MySQL的事务隔离性做
UPDATE table T SET val = $new_val, current_token = $token WHERE id = $id AND current_token < $token
但是如果操作共享资源是向磁盘上写文件,或是发HTTP请求呢?这种方案并不可行,大部分要操作的资源服务器,都没有互斥能力
第二,Redlock已经提供了随机值,利用随机值,也可以达到和fencing token相同的效果,类似CAS
- 客户端使用 Redlock 拿到锁
- 客户端在操作共享资源之前,先把这个锁的 VALUE,在要操作的共享资源上做标记
- 客户端处理业务逻辑,最后,在修改共享资源时,判断这个标记是否与之前一样,一样才修改
还是以 MySQL 为例:
- 客户端使用 Redlock 拿到锁
- 客户端要修改 MySQL 表中的某一行数据之前,先把锁的 VALUE 更新到这一行的某个字段中(这里假设为 current_token 字段)
- 客户端处理业务逻辑客户端修改 MySQL 的这一行数据,把 VALUE 当做 WHERE 条件,再修改
UPDATE table T SET val = $new_val WHERE id = $id AND current_token = $redlock_value
两个客户端通过这种方案,先标记再检查+修改共享资源,那这两个客户端的操作顺序无法保证,而用 Martin 提到的 fencing token,因为这个 token 是单调递增的数字,资源服务器可以拒绝小的 token 请求,保证了操作的顺序性
Redis 作者对于这个问题做了不同的解释:分布式锁的本质,是为了互斥,只要能保证两个客户端在并发时,一个成功,一个失败就好了,不需要关心顺序性。
基于Zookeeper的锁
- 客户端 1 和 2 都尝试创建临时节点,例如 /lock
- 假设客户端 1 先到达,则加锁成功,客户端 2 加锁失败
- 客户端 1 操作共享资源
- 客户端 1 删除 /lock 节点,释放锁
Zk采用了临时节点,保证客户端1拿到锁后,只要连接不断,可以一直持有锁;而如果客户端1异常崩溃了,这个临时节点会自动删除,保证了锁一定会被释放。
如果保证连接不断呢?客户端1会和Zk服务器维护一个Session,这个Session依赖客户端的定时心跳来维持连接。如果Zk长时间收不到客户端的心跳,就认为这个Session过期了,也会把这个临时节点删除。
所以Zk也无法保证进程GC、网络延迟下的安全性
也就是说,一个分布式锁,极端情况下,不一定是安全的
Zk的优点:
- 不需要考虑锁的过期时间
- watch机制,加锁失败,可以watch等待锁释放,实现乐观锁
Zk的缺点
- 性能不如Redis
- 部署运维成本高
- 客户端与Zk长时间失联,锁会被释放
总结
- 使用分布式锁,在上层完成互斥目的,虽然极端情况下锁失效,但是可以最大程度把并发量阻挡在上层,减轻操作资源层的压力
- 对于要求数据绝对正确的业务,在资源层做好兜底,设计思路可以借鉴fencing token
