CAP 定理是分布式系统的「牛顿第一定律」——它定义了这个领域的基本约束。但在真实的工程实践中,CAP 定理过于粗粒度,以至于它无法指导我们在实际系统中做出正确的设计决策。我们需要一个更精细的模型。

CAP 定理的再理解#

2000 年,Eric Brewer 提出 CAP 猜想;2002 年,Gilbert 和 Lynch 给出了形式化证明。CAP 定理告诉我们:

在一个分布式系统中,以下三个特性最多只能同时满足两个:

C (Consistency)  - 一致性:所有节点在同一时刻看到相同的数据
A (Availability) - 可用性:每个请求都能在合理时间内收到非错误响应
P (Partition Tolerance) - 分区容错:网络分区发生时系统仍能运行

大多数架构师对 CAP 的理解停留在「三选二」的层面。但这个理解有几个问题:

问题 1:P 不是一个可选项

在真实的分布式系统中,网络分区是必然会发生的事情——交换机故障、光缆被挖断、数据中心之间的网络抖动。所以 P 不是你可以「选择放弃」的特性,它是一个既定事实。

真正的选择是在 C 和 A 之间,而且这个选择只在分区发生时才有意义。

没有分区时:C 和 A 可以同时满足
发生分区时:必须在 C 和 A 之间选择

CP 系统:分区时拒绝服务,保证一致性
  例:ZooKeeper、etcd、HBase

AP 系统:分区时继续服务,可能返回过期数据
  例:Cassandra、DynamoDB、CouchDB

问题 2:CAP 是全局的,但需求是局部的

同一个系统中,不同的业务操作可能有不同的一致性需求:

电商系统的一致性需求:

操作 A:扣减库存
  → 需要强一致性(不能超卖)→ CP

操作 B:展示商品评价
  → 可以接受最终一致性(延迟几秒看到新评价无所谓)→ AP

操作 C:用户修改收货地址
  → 需要强一致性(改错了会寄错地方)→ CP

操作 D:商品浏览量计数
  → 可以接受最终一致性(少计几次没关系)→ AP

一个成熟的分布式系统不会在全局层面选择 CP 或 AP,而是在每个操作级别做精细的选择。

PACELC:一个更实用的模型#

2010 年,Daniel Abadi 在论文《Consistency Tradeoffs in Modern Distributed Database System Design》中提出了 PACELC 模型,它扩展了 CAP 定理,增加了无分区时的延迟-一致性权衡

PACELC 模型:

If Partition (P):
  choose between Availability (A) and Consistency (C)
Else (E):
  choose between Latency (L) and Consistency (C)

                    ┌── A (分区时保证可用)
        ┌── P ──┤
        │         └── C (分区时保证一致)
系统 ──┤
        │         ┌── L (正常时保证低延迟)
        └── E ──┤
                  └── C (正常时保证强一致)

这个模型的价值在于它指出了一个经常被忽略的权衡:即使没有网络分区,强一致性也是有代价的——它增加了延迟。

为什么?因为强一致性要求每一次写操作都必须同步复制到多数派节点后才能返回成功。这意味着写延迟至少等于网络 RTT(Round Trip Time)的中位数。

PACELC 分类示例:

PA/EL - DynamoDB:
  分区时选择可用性,正常时选择低延迟
  → 最终一致性模型,读写延迟极低

PC/EC - BigTable/HBase:
  分区时选择一致性,正常时也选择一致性
  → 强一致性模型,但延迟较高

PA/EC - Cassandra(可配置):
  分区时选择可用性,但正常时选择一致性
  → 通过 Quorum 读写实现可配置的一致性级别

PC/EL - MongoDB(早期版本):
  分区时选择一致性(主从模式,从节点不接管)
  正常时选择低延迟(异步复制)

一致性模型的光谱#

在 CAP/PACELC 的二元选择之外,实际上存在一个一致性模型的光谱

强 ←────────────────────────────────────────→ 弱

线性一致性     顺序一致性    因果一致性    最终一致性
(Linearizability) (Sequential)  (Causal)     (Eventual)

     │              │             │            │
     │              │             │            └─ 所有副本最终会收敛
     │              │             │               到相同状态
     │              │             └─ 因果相关的操作保证顺序
     │              │                (评论一定在帖子之后)
     │              └─ 所有操作看起来按某种全局顺序执行
     │                 (但不一定是真实时间顺序)
     └─ 每个操作看起来在调用的瞬间就生效了
        (最强保证,分布式系统中代价最高)

线性一致性(Linearizability)#

这是最强的一致性保证。每个读操作都能读到最新的写入。实现方式通常是 Raft/Paxos 共识算法。

适用场景:分布式锁、Leader 选举、配置中心。

代表系统:etcd、ZooKeeper、TiKV。

顺序一致性(Sequential Consistency)#

所有操作看起来按照某种全局顺序执行,但不一定是真实时间顺序。比线性一致性弱一些——不保证「最新」,但保证「有序」。

适用场景:消息队列的顺序消费。

因果一致性(Causal Consistency)#

只保证有因果关系的操作之间的顺序。无因果关系的操作可能乱序。

因果一致性示例:

用户 A 发了一个帖子(操作 X)
用户 B 看到了帖子,发了一条评论(操作 Y)

因果一致性保证:任何用户看到评论 Y 时,一定能看到帖子 X
因为 X → Y(Y 因果依赖于 X)

但用户 C 发的另一个帖子 Z 和用户 A 的帖子 X 没有因果关系
所以其他用户可能先看到 Z 后看到 X

最终一致性(Eventual Consistency)#

最弱的保证:如果没有新的写入,所有副本最终会收敛到相同状态。但「最终」是多久?可能是毫秒级,也可能是小时级。

适用场景:CDN 缓存、DNS、社交媒体的 Timeline。

实战:电商系统的一致性策略设计#

回到我们的电商系统,如何在不同的操作中选择合适的一致性模型?

┌──────────────┬────────────────┬───────────────────────────┐
│ 业务操作      │ 一致性需求      │ 技术实现                   │
├──────────────┼────────────────┼───────────────────────────┤
│ 扣减库存      │ 线性一致性      │ 数据库事务 + 悲观锁        │
│ 订单状态      │ 顺序一致性      │ 消息队列顺序消费           │
│ 商品搜索      │ 最终一致性      │ ES 异步同步 + 定时刷新     │
│ 用户评价      │ 因果一致性      │ 向量时钟 / 逻辑时钟        │
│ 浏览量计数    │ 最终一致性      │ 本地聚合 + 定时上报        │
│ 收货地址      │ 线性一致性      │ 数据库事务                 │
│ 推荐列表      │ 最终一致性      │ 缓存 + 异步更新            │
└──────────────┴────────────────┴───────────────────────────┘

关键洞察:不要一刀切。在一个复杂的分布式系统中,混合使用多种一致性模型才是正确的做法。

BASE 理论:柔性事务的思想#

当我们在 PACELC 模型中选择了「A + L」而非「C」时,就需要一种新的方式来保证数据的正确性。这就是 BASE 理论:

BASE:
B - Basically Available(基本可用)
  系统在出现故障时,允许损失部分可用性
  例:响应时间从 100ms 延长到 500ms,但服务不中断

S - Soft State(软状态)
  允许系统中的数据存在中间状态,且该中间状态不影响系统整体可用性
  例:缓存和数据库之间的短暂不一致

E - Eventually Consistent(最终一致性)
  系统中的所有数据副本,在经过一段时间的同步后,最终能够达到一致

BASE 是对 CAP 中 AP 方案的具体实践指导。它不是说「一致性不重要」,而是说「我们可以用时间来换取一致性,而不是用可用性来换取一致性」。

最终一致性的工程实现# 

方案 1:异步复制 + 重试

  写入主库 → 异步消息 → 从库消费 → 写入从库
                  ↓ 失败
              重试队列 → 定时重试 → 死信队列(人工介入)

方案 2:TCC(Try-Confirm-Cancel)

  Try: 预留资源(冻结库存)
  Confirm: 确认操作(扣减库存)
  Cancel: 取消操作(释放冻结库存)
  
  适用于:跨服务的分布式事务

方案 3:Saga 模式

  将长事务拆分为一系列本地事务,每个本地事务有对应的补偿操作
  
  T1: 创建订单 → T2: 扣减库存 → T3: 扣减余额
  失败时反向补偿:
  C3: 退还余额 ← C2: 恢复库存 ← C1: 取消订单
  
  适用于:业务流程较长、涉及多个服务的场景

给架构师的决策框架# 

决策树:这个操作需要什么样的一致性?

1. 如果数据不一致会导致资金损失或法律问题
   → 线性一致性(数据库事务 / 共识算法)

2. 如果数据不一致会导致用户体验明显下降(但不会造成损失)
   → 顺序一致性 / 因果一致性(消息队列 / 逻辑时钟)

3. 如果数据不一致在 N 秒内可以被用户接受
   → 最终一致性(异步复制 / 缓存)

4. 如果数据不一致完全不影响业务(统计类数据)
   → 弱一致性 / 尽力而为(本地聚合 + 定时上报)

结语#

CAP 定理告诉我们分布式系统的边界在哪里,PACELC 模型告诉我们在这个边界内如何做精细的权衡。

作为架构师,我们的职责不是盲目追求最强的一致性(那会带来无法承受的性能代价),也不是随意选择最终一致性(那会带来难以调试的 Bug)。我们需要的是:理解每一种一致性模型的适用场景,然后在每一个具体的业务操作中做出正确的选择。

分布式系统的魅力就在于此——它没有银弹,只有权衡。而好的架构,就是一系列正确权衡的总和。