CAP 理论：分布式系统设计准则与争议解析

一句话：CAP 说了一些永远不存在的废话！作为一个严格的数学定理，一定要概念清晰并且可自证明，CAP 显然不具备这个条件，并声称'绝不承认其为一个定理'！

【4】的作者对相对论有相当的理解，从相对论来看，每个节点都只知道自己的结果，永远无法得知其他节点的情况，系统整体是否一致我怎么会知道？

并且作者对一致性、可用性归结为一个非常深刻的见解：一切都是时间视图！多长时间返回结果算可用？多长时间返回认为不可用？多长时间数据同步算一致？因此，一切的本质是时间！

根据时间特性和相对论，作者提出了一个独创的 promise 系统模型，每个节点都对自己的行为在有限时间内进行承诺，其他节点根据这个承诺和自己的状态决定本地如何处理...

作者还上传了自己的笔记拍照，我大体看了下，基本上是构建了一个基于时间同步的有限状态机，实际上 Lynch 早就证明，在同步环境的一致性是可以达到的！

3.2 质疑 2：不适用于数据库事务架构

【6】的作者，把详细地列举了分布式事务中可能的分区情况，比如说应用因为更新一些错误的数据而导致失败，此时无论使用什么样的高可用方案都是徒劳，因为数据发生了无法修正错误！作者还列举了其他一些情况，虽然分区发生但无法保持高可用。这就说明了 CAP 并不能不被用来完全解释数据库事务架构！

作者还建议，应该放弃分区容错，因为在局域网中分区很少发生；而在广域网中，有各种备选方案，导致实际上的分区也较少发生。

3.3 质疑 3：应该构建不可变模型避免 CAP 的复杂性

【7】的文章标题就是锤死 CAP，作者对 CAP 的不屑溢于言表！

作者认为 CAP 的困境在于允许数据变更，每次变更就得数据同步，保持一致性，这样系统非常复杂。

他认为数据就是客观存在的，不可变，只能增、查。传统的 CURD 变为 CR。这个概念非常类似 Cassandra 中的顺序写的概念，任何的变更都是增加记录。通过对所有记录的操作进行合并，从而得到最终记录。

因此，作者认为任何的数据模型都应该抽象为：Query=Function(all data)，任何的数据试图都是查询，查询是对全体数据施加了某个函数的结果。这个定义清晰简单，完全抛弃了 CAP 那些繁琐而又模糊的语义。因为每次操作都是对所有数据进行全局计算，也就没有了一致性问题！

有这样的系统吗？有，Hadoop 便是！作者认为，Hadoop 的 HDFS 只支持数据增加，而 MapReduce 却进行全局计算，完美地符合了他对数据处理的期望！

Hadoop 也存在某个节点数据丢失的问题，但随着流式计算，丢失的数据终究会随着系统的正常而被最终合并，因此数据最终是一致的。

Hadoop 不能进行实时计算咋办？作者又构建了一套基于 Cassandra 和 ElephantDB 的实时数据处理系统。。。。搞的无比复杂！

3.4 质疑 4：分区容错概念有误导

【5】的作者主要质疑【6】，但比较清晰得揭露了 CAP 的概念之间的模糊。

【5】认为，可用性和一致性是分布式系统的属性，而分区却是网络的一个属性。不能再问题发生时是否选择要不要分区，而是应该在分区既定的情况下选择要一致性还是可用性。网络分区会发生在两种情况：

• 交换机失败，导致网络发生【6】中描述的情况，网络被分成几个子网
• 机器延迟或死机，导致某些 server 失去联系

【6】中所谓的分区就是情况 1，每个独立的子网还能正常运作，作者认为这种分区条件非常苛刻，更倾向于认为这只是分区可用性的一种度量方式（发给每个子网的请求都有正确的 response）。

而实际上，因为机器原因发生的分区的情况更常见一些，如果'很多'机器都发生故障，系统会因为一个'多数派'的丢失而导致不可用（比如，因为多数不存在，最新的读可能无法读取到上一次的写）。一句话：分区也同时蕴涵着不可用，这两个概念之间存在重叠。

作者认为，CAP 比较合理的表达方式应该是：在一个允许网络发生故障的系统中，该选择一致性还是可用性？

当系统的机器数量持续增加时，一致性会加剧时延，维护一致性的成本会非常之高，因此我们基本就剩下一种选择：在允许网络失败的系统中，更多地是选择可用性。而 Zookeeper、Hadoop 之所以选择一致性，是因为这些系统多数是有在同一集群的少数节点构成！

【5】的作者其实间接地否认了'3 个中同时满足 2 个'这样的误解，而是从更深层次探讨了 CAP 的本质，但并没有试图推翻 CAP。

4. 对质疑的回应

面对大量的质疑，Brewer 和 Lynch 终于坐不住了，因此两人纷纷出来澄清：

Brewer 于 2012 年重申【1】：

• '3 个中的 2 个'这个表述是不准确的，在某些分区极少发生的情况下，三者能顺畅地在一起配合
• CAP 不仅仅是发生在整个系统中，可能是发生在某个子系统或系统的某个阶段

该声明并不否认像质疑 3 那种三个因素协同工作的情况，并把 CAP 应用在一些更细粒度的场景中。

Lynch 也在 10 年后的 2012 年重写了论文【3】，该论文主要做了几件事：

• 把 CAP 理论的证明局限在原子读写的场景，并申明不支持数据库事务之类的场景
• 一致性场景不会引入用户 agent，只是发生在后台集群之内
• 把分区容错归结为一个对网络环境的陈述，而非之前一个独立条件。这实际上就是更加明确了概念
• 引入了活性 (liveness) 和安全属性 (safety)，在一个更抽象的概念下研究分布式系统，并认为 CAP 是活性与安全熟悉之间权衡的一个特例。其中的一致性属于 liveness，可用性属于 safety
• 把 CAP 的研究推到一个更广阔的空间：网络存在同步、部分同步；一致性性的结果也从仅存在一个到存在 N 个（部分一致）；引入了通信周期 round，并引用了其他论文，给出了为了保证 N 个一致性结果，至少需要通信的 round 数。也介绍了其他人的一些成果，这些成果分别都对 CAP 的某一个方面做出了特殊的贡献！

其实 Lynch 的论文主要就是两件事：缩小 CAP 适用的定义，消除质疑的场景；展示了 CAP 在非单一一致性结果下的广阔的研究结果！并顺便暗示 CAP 定理依旧正确！

从此论文还是可以看出，Lynch 的功力高出其他质疑者好多！

5. 该如何看待 CAP？

首先肯定的是，CAP 并不适合再作为一个适应任何场景的定理，它的正确性更加适合基于原子读写的 NoSQL 场景。质疑虽然很多，但很多质疑者只是偷换概念，并没有解决各个因素之间的取舍问题。而无论如何 C、A、P 这个三个概念始终存在任何分布式系统，只是不同的模型会对其有不同的呈现，可能某些场景对三者之间的关系敏感，而另一些不敏感。在所有的质疑当中，质疑 4 是分析的比较中肯的，其清晰的概念分析该让我们对 CAP 有更深入的理解！

就像 Lynch 所说，现在分布式系统有很多特性，比如扩展性、优雅降级等，虽然时间的发展，或许这些也会被纳入研究范畴，而作为开发者，这都是我们需要考虑的问题，而不仅是 CAP 三者！

6. 参考资料

【1】http://en.wikipedia.org/wiki/Cap_theorem 【2】http://lpd.epfl.ch/sgilbert/pubs/BrewersConjecture-SigAct.pdf 【3】http://groups.csail.mit.edu/tds/papers/Gilbert/Brewer2.pdf 【4】http://markburgess.org/blog_cap.html 【5】http://blog.cloudera.com/blog/2010/04/cap-confusion-problems-with-partition-tolerance/ 【6】http://cacm.acm.org/blogs/blog-cacm/83396-errors-in-database-systems-eventual-consistency-and-the-cap-theorem/fulltext 【7】http://nathanmarz.com/blog/how-to-beat-the-cap-theorem.html 【8】http://highscalability.com/blog/2011/11/23/paper-dont-settle-for-eventual-scalable-causal-consistency-f.html