ストレージのエラーモデル

まず、ストレージには、大きく分けて以下がある。

• 揮発性ストレージ：メモリ
• オンライン不揮発性ストレージ：ディスク。メモリより信頼度高い。
• オフライン不揮発性ストレージ：テープ。ディスクより信頼度高い。

ストレージは、固定長のページと呼ばれる単位で、配置・転送される。転送に対して、3つの結果がある、成功、部分的に失敗、失敗。どんなページでもエラーは生じるし、生じたらオリジナルのデータはなくなる。こういったエラーは、あとになって読み込む段になってわかる。N個の独立したページが、一度に破壊されるような状況は確率的に大分低いので無視して良い。N＝２でも、かなり確率は小さい（コモディティ製品だと、そうとも言えない気がするなぁ）。

コミュニケーションエラー

コミュニケーションは、セッション上のメッセージの集合として考える。メッセージの転送に際しては、正しく受信、正しくないが受信、受信してないの三つの結果がある。メッセージの転送では、各メッセージで成功しない場合がある。リカバリマネージャの役割は、これらのエラーに対して対処を行うこと。

WALプロトコル

メモリには、揮発性と不揮発性がある。ログに書きこむ前にデータベースを更新し、ログに書きこむ前の段階で障害等が起きたら、UNDO出来なくなる。コミット後にREDOログを書いたとしても同様。つまり、ログ書き込みは先に書き込まれないといけない。リカバリ可能なオブジェクトを変更するときには、必ずログを書く。ログは障害の仕方が独立となっているようなメディアに二重で書くことにより、信頼性が格段に増加する。

WALとは、

• まだコミットされていない更新に対して、リカバリ可能なオブジェクトを不揮発性ストレージに更新する前に、トランザクションは、不揮発性のログに対して、UNDOエントリを追記しなければならない。
• リカバリ可能なオブジェクトに対するコミットを行う前に、コーディネータモジュールは、undo/redoログを不揮発性ストレージに書き込む必要がある。そうすることで、コミットされたトランザクションがundo/redoどちらも可能。このプロトコルは、広くはメッセージついても同じように解釈される必要がある。リカバリ可能なメッセージをログに追記する前に送信してはならない。ログに書くことで、キャンセルや再送信が可能となるので。

WALの実装について。各ログエントリは、連続的なIDを持っている。各リカバリ可能なオブジェクトは、それまでに割り当てられた連続的なIDを持っている。オブジェクトが更新されるときには、新しいログレコードのIDを設定する。設定されているログIDを通り越して、ログに書き込まれる前にオブジェクトが非揮発型ストレージに書き込まれることはない。ログマネージャは、特定のIDまで一気に書きだす同期呼び出しをもつ。

システム再起動に、トランザクションはundoneやredoneするかもしれない。再起動は、エラーが発生した場合なんども繰り返すかもしれない。となると、undo/redoは何回も行うことになる。ログは、非揮発型ストレージよりも先に（オブジェクトの更新という意味かな）書き込まれるので、最初のundoはすでにもう実行済みと同じ状態かもしれない。redoに関しても同じで、すでにredo済みかもしれない。よって、undo/redoの処理を何回やったとしても結果は同じというような等羃性を持たせることが必要。undo/redoは、再起動が繰り返されたり、２フェーズコミットが失敗したときに生じる。

先ほど出てきた、連続的なIDを用いるとundo/redoに等羃性を持たせることができる。オブジェクトが永続化されるときにこのIDも一緒に入れておき、かつ、この書き込みがatomicであれば、undo/redoが必要かどうかは、このIDを見てあげれば良い（undo/redoのIDが低いか同じであれば、実行の必要がないということかな)。メッセージの場合は、最大のID以下のIDが飛んできたら捨てれば良い。

歴史的経緯の話。元々、ログバッファは、非揮発性のストレージに書きこまれていて、いろんな障害からデータロストを防いでいた。でも、揮発ストレージであるメモリを使うことが増えたため、WALプロトコルが必要となる。

なるほどー、勉強になった。いまいち、undo/redoの考え方がよく分かってなかったので。

将校のパラドックス

２フェーズコミットを理解するには、将軍のパラドックスを知っていると良いかも。ある作戦において将校が二人いる。目的は同じで、ある丘を占領したい。協力して行軍すれば、成功することが保証される。１軍だけが行軍したら、負ける。２軍は、比較的近いところで野営しているのだが、技術的な課題によって、伝令を走らせるしか情報伝達の手段がないとする。伝令は、不完全であり、毎回野営を出発するが、何を伝えるか忘れる場合がある。問題は、このように情報伝達が途中で喪失する場合があったとしても、同時に行軍できるようなプロトコルが存在するかということである。

簡単な証明で、固定長のプロトコルはないことが分かる。（この証明は、背理法なので）Pを同時に行軍できるプロトコルであり、最も短いプロトコルであるとする。Pに含まれる最後のメッセージが紛失するとする。この時、伝令は役に立たず、ひとりの将校に必要な情報が渡らない。Pが最小のプロトコルであることを考えると（必要最小限しか送らないことから）、最後の情報は極めて重要であり、情報が渡らない将校は行軍を開始しない。よって、矛盾。プロトコルは存在しない。

将校のパラドックスは、コミット処理を行うときのリカバリマネージメントで生じる問題と極めて近い。メインフレームが東京、ATMがドイツにあることを考えれば良い。ゴールは以下。

• 現金の引き出しをドイツで行う。
• 引き出した金額を東京の非揮発ストレージに記入する。

もし、片側だけしか生じなかったら、一貫性が担保できない。

２フェーズコミットプロトコル

将軍のパラドクスに解はないが、条件を緩めたらどうだろう。つまり、プロトコルが有限な最大長をもつと緩めることで、解が存在することになる。これから説明するプロトコルは、任意の数のメッセージのやりとりをして良いとする。通常、２，３のメッセージのやりとりで済むが、場合によっては永遠にメッセージのやりとりを行うことになる。コミット調整者というものを導入する。コミット調整者は、全ての参加者と通信で繋がっている。参加者は、ノード上のプロセスであったり、自律的なモジュールだったりする。コミット調整者は、全ての参加者に、redo/undoどちらにでも行ける状態にしてくれと頼む（つまり、信頼性の高いストレージにログを書きだす）。コミット調停者は、参加者から投票を受ける。

• 参加者のうち、ひとりでもabortした場合、コミット調停者はabortを全参加者に送り、ログにabortしたことを書き込む。他の参加者者全員abortする。
• 全参加者がOKとしたらな、コミット調停者は、ログにコミットレコードを書き込む。全参加者にコミット要求を行い、全員からackが返却されたら調整者は終了する。

このアプローチが成功する理由は、コミット判断のための情報ををひとつの場所に集めたこと、また、時間的な制約を付けてないこと（失敗したら、諦めるという部分）。成功する場合、参加者がabortする場合、調整者がabortする場合の三つのシナリオがある。

ここまで来て、なぜ２フェーズコミットがいまいち分かってなかったかが分かった気がする。２フェーズコミットプロトコルそのものが、わからないというよりも、redo/undoがidempotentに作成されていることが分かってなかった。

以下は、擬似コード。

coordinator_proc(){
  int vote = COMMIT;
  for(int i = 0; i < allparticipants; i++){
    int reply=send_msg(i, REQUEST_COMMIT);
    if(reply != AGREE) vote=ABORT;
  }  
  if(vote==COMMIT){
    write_log_sync(SEND_COMMIT);
    for(i = 0; i<allparticipants; i++){
      flg_wait_ack=true;
      while(flg_wait_ack){
        send(i, COMMIT);
        reply = wait_ack_timeout();
        if(reply == ACK){
          break;
        }else{
          continue;
        }
      }
    }
  }else{
    write_log_sync(ABORT);
    for(i = 0; i<allparticipants; i++){
      flg_wait_ack=true;
      while(flg_wait_ack){
        send(i, ABORT);
        reply = wait_ack_timeout();
        if(reply == ACK){
          break;
        }else{
          continue;
        }
      }
    }
  }
  write_log_sync(COMPLETE);
}

participant_proc(){
  wait_msg(COMMIT);
  reply = write_log_sync(UNDO_REDO_LOG);  /* phase 1 */
  if(reply){                                                      /*writes AGREE in log */
    send(coordinator, AGREE);
  }else{
    send(coordinator, ABORT);
  }
  verdict = wait_verdict();                               /* phase 2 */
  if(verdict == COMMIT){
    release(resources-locks);
    send(coordinator, ACK);
  }else{
    undo();
    send(coordinator, ACK);
  }
}

何かが生じて再起動した場合には、基本的にはログの情報しか残っていない。SEND_COMMITを書きこむ前に、調整者がクラッシュした場合には、abortを行う。思うに、REQUEST_COMMITは覚えておかなくても良いのだろうか。それがないと、トランザクション自体の処理が始まったことが分からないように思う。

SEND_COMMITがあって、COMPLETEがない場合、再起動時にはCOMMITを再送信する。COMPLETEがある場合には、特にトランザクションとしてリカバリを必要としてない。今度は、参加者の方。AGREEエントリがログになければ、abortする。もし、AGREEがあった場合、調整者に対して、トランザクションがcommitなのか、abortなのか、を聞く（redo/undo）。

• SEND_COMMITとAGREEをログに書き込む前
• SEND_COMMITとAGREEをログに書き込んだ後

という二つのフェーズを持っているので、２フェーズコミットと呼ぶ。参加者のひとりが間違えて、行軍しないことを保証している。うーん、でもどうなんだろう。COMMITメッセージを複数に送る場合には、中途半端に届く可能性があるよね。まあ、その場合は、成功するまで再送信するからいいのか。まあ、考えてみるとshared nothingで時刻同期が不完全な場合、故障を考えなかったとしてもある時から、一気に状態変更はできないね。だから、参加者は、コミットが来るまでは不完全な状態であることを把握して、中途半端なトランザクションに対する検索には、エラーを返却すればよいのかもしれない。phase1でクラッシュしても、全体はabortされる。phase2でクラッシュした場合、調整者にundo/redoを聞く。phase1で必要な情報を書いておくことで、どちらにも対応できる。このためには、redo/undoがidempotentである必要がある。SEND_COMMITがログになければ、abortを送る。SEND_COMMITがあるのなら、COMMITを送る（redoに対応）。

今日は、ここまで、続きは気が向いたら（P469から）。