前言：GoldenDB 是中兴通讯推出的一款自研的金融级交易型分布式数据。针对金融行业关注的数据库事务一致性问题，中兴通讯 GoldenDB 分布式数据库架构师陆天炜，在DTCC2019数据库大会上做了干货分享，重点介绍了 GoldenDB 的解决方案和对应的优化实践。

　　▲中兴通讯GoldenDB分布式数据库架构师 陆天炜

　　众所周知，中兴通讯的主航道产业是5G通信，但是各行各业都会使用数据库，中兴通讯提交给客户的通讯设备上面也都使用了大量的数据库，为了给客户提供更好的交付体验，大部分都是自研的产品。

　　从2002年开始，中兴通讯推出EBASE文件数据库，2007年推出EBASE-MEM内存数据库，做到2011年的DHSS分布式数据库，开始有了一个雏形。2014年的时候，中兴通讯开始研发了GoldenDB这个金融级的数据库，2015年的时候已经有第一个商业版本GoldenDB 1.0，并在中信银行的北京营业厅的冠字号业务上开始使用。到2016年的时候，已经在多个银行不同业务等级的生产系统上做了商用投产。2017年，中兴通讯做了另外一件事情，和中信银行一起在总行的账务系统上做了一个核心下移的测试验证，并且验证通过了，性能超过40000TPS。当时客户就决定要在2019年的时候，把核心业务的数据库，从基于小机的DB2上迁移到基于X86平台的GoldenDB上。

　　GoldenDB分布式数据库总体架构是什么？

　　GoldenDB分布式数据库总体架构分成四个重要部分：

　　第一部分，是计算节点集群，是多点读写模式，因为计算节点没有状态，所以可以做到横向扩容。

　　第二部分，是数据节点集群。在一套GoldenDB里面，可以有多个数据节点集群去承载多个不同的业务，每个数据节点集群是可以做到物理隔离的。每个集群内部根据对应的业务流量，还有存储压力，去做分片，做负载均衡。每个数据分片都是一主多备的结构，每个备机可以做容灾和读负载能力的扩展。

　　第三部分，全局事务管理节点，用来管理全局分布式事物的一个生命周期。它跟计算节点做交互，提供全局事务ID的分配、回收，以及全局活跃事物列表的查询功能。

　　第四部分，是管理节点，主要包含几个重要功能：第一，提供了一个Web控制台页面，在控制台上可以做自动的安装、更新，集群的组建，主备切换，备份恢复等各种与运维相关的操作；第二，管理节点里面还包含了元数据管理器，源数据管理器存了两部分信息，第一部分信息是GoldenDB拓扑的组网信息，包括各个集群的设备信息，主备信息、IP信息等，第二部分就是业务数据库的源数据，包括DDL、库表结构、分布状态、分布规则；第三，管理节点还提供了监控，可视化告警等与管理相关的功能。

　　这就是GoldenDB数据库的整体架构，对外连接业务，提供的是MySQL的标准协议。

　　GoldenDB现在正在做的一个事情是，在2019年底的时候要把中信银行的DB2给替换掉。下面总结了GoldenDB数据库满足金融核心功能的一些关键需求。

　　第一，实时一致的分布式事务控制；在做分布式事务控制的时候，能够做到实时一致，并且事务处理不影响业务原来的业务逻辑，业务原来的代码迁到GoldenDB上的时候是不需要做逻辑变更。他们原来的代码是RPG的代码，直接通过工具改成Java代码，业务开发的工作量非常少。

　　第二，支持同城异地容灾和一致的备份恢复，符合异地监管的一致性。GoldenDB契合金融的两个三中心架构，能够做到同城RPO为0。无论是一致的备份恢复，还是异地接管的恢复，在做备份的时候各个节点单独备份，但恢复的时候能够能恢复到全局一致的状态。所以，异地做接管的时候，虽然会有数据丢失，但是接管后的数据也是一个一致的状态，更加方便业务进行数据回补。

　　第三，线性横向扩展和联机数据重分布，这包含两部分内容：一个是性能的横向扩展；一个是容量的横向扩展。关于性能的横向扩展，DBProxy能做到百分之百的横向扩展，底层数据节点是瓶颈的时候，数据节点能做到95%的横向扩展。支持在线数据重分布，并且通过追增量和冻结日志的方式，能够把真正对联机交易的影响降低到秒级，一般默认的阈值配置都在5秒以下。

　　第四，丰富的监控体系和完善的运维能力。传统核心基于DB2或者Oracle，只有一两台设备，运维人员和DBA人员只要监控一两台设备就行，换到这个X86的分布式架构下面，可能是十几台或者几十台，这对运维体系的易用性，对监控体系的完备性要求就更高。所以，中兴通讯的GoldenDB在2018年一整年都在做这么个事情，那就是丰富监控运维体系，跟很多第三方的平台和第三方工具做对接。

　　如何看待GoldenDB 事务处理机制的各种问题？

　　1、事务理论的分布式延伸

　　关于GoldenDB的分布式事务处理机制，我们先看下事务处理在分布式架构有哪些延伸。我们理解的事务的一致性，其实是在事务内的原子性(原子性-A)和事物间的隔离性(隔离性-I)，以及故障时的持久性(持久性-D)，只有三者组合到一起才能保证数据的一致性(C)。

　　在分布式架构下，原子性的要求，是在多个数据分片上的多次操作，要么一起成功，要么一起失败；而在单机架构下，仅是一台机器上多条记录的多次操作；隔离性方面，要求多个计算节点上的不同连接，不会相互访问到在多个数据分片内未提交事务的数据；而单机数据库的隔离性，是指不同连接(处理线程或进程)不会相互访问到当前机器上未提交事务的数据；另外，从持久性角度看，分布式数据库的事务提交前必须将日志在分片主、 从节点都得到复制，主节点故障时，能在从节点上找回数据，继续完成事务；单机数据库的事务要求是，提交前必须先将日志落盘，机器宕机恢复后不丢失数据。

　　2、分布式事务的难点

　　那么，要实现分布式事务的实时一致性（保证ACID ），难点在哪？其实包括两个部分：一是部分DB提交失败，如何保证全局事务的原子性(A)；另一部分是，并发访问时，每个事务都不知道其他事务的状态，如何保证事务之间的隔离性(I)。以转账交易为例: 交易前2个账户资金余额各100，事务T1从账户1转账50到账 户2。需解决问题：在事务T1提交期间，由于DB1和DB2提交时间有空隙，若此时事务T2读取2个账户的余额，会发现余额之和是 50+100=150；存在事务T1对账户1上扣钱成功，给账户2加钱失败的情况。

　　3、如何保障原子性？

　　在业内，通常都用2PC协议保障原子性，在MySQL中就能看到很多场景，一个是MySQL里跨存储引擎的事务，二有存储引擎里bin log一致性的保障，都通过2PC实现。2PC有自己的优势，参与者在投赞成票之前可以单方面取消事务，但是也有一些局限性。第一个问题，它本身是一个阻塞式的算法，进入Prepare以后一定要成功；第二个问题是，协同者的状态其实是一个单点，协调者挂了以后，参与者没有办法继续进行下去，参与者和协调者在某些状态会等待消息，需要启动定时监控；第三问题是，正常的提交流程，日志写入数量比较大，为 2N+3 ，消息数也多，为 4N ，其中 N 为参与节点的数量。

　　另外，还有很多通过增加消息中间件，或者使用TCC分布式事务框架，来实现事务原子性的方案。通过业务改造保障原子性，会有额外的问题：首先，是对业务的侵入性较大，所有业务都要增加反向操作逻辑/增加额外中间件；其次，处理过程中数据存在短暂不一致或导致更新延后，原子性不能100%保障；其三，无论2PC、MQ还是TCC，都存在的一个问题，就是在2阶段提交Commit阶段，在MQ不断重试的阶段，在TCC的Confirm阶段如果出现了异常，没有办法解决，没有补救措施，必须人工干预。

　　至于，GoldenDB事务原子性机制如何实现？总结起来就两句话：第一句是一阶段提交。GoldenDB有一个全局事务，整体的提交是一阶段。把一个全局事务拆成由若干个子系统单独提交的一个个子事务，把这些子事务由计算节点交给对应DB去执行。执行之前，我们先在GTM那边把事务标记成活跃的状态；如果所有的DB都执行成功了，在GTM那边把事务标记为不活跃，全局事务就结束了；第二句是自动回滚补偿。遇到像转账失败的流程后，子事务在单机上会自动回滚，反馈给计算节点后，不是全部成功的，计算节点需要向数据节点下发回滚的消息。回滚补偿就是把下发回滚的操作做到数据库层面，业务层不需要做补偿交易。这种模式的优点，一是应用层无需增加额外补偿逻辑；二是，失败回滚是少数情况，整体性能高于两阶段提交，只需要一次交互就可以了，大大节省了单机资源。

　　4、已提交事务回滚实现和优化方式

　　在这一过程中，会涉及已提交事务回滚的实现和优化方式。整个过程要经历定位-遍历-生成-执行这样一个流程。通过全局事务ID所对应的Binlog提升回滚性能，数据行里会存有全局事务的ID, 当你Commit的时候，全局事务ID会随着Binlog一起进入文件里。通过Binlog里面的GTID找到这个GTID所对应的所有Binlog的语句块，然后解析Binlog，生成SQL，立刻组成新的事务，重新执行一遍。对整个操作过程，GoldenDB做了很多优化，包括表定义缓存、预分析并行查找、共享内存、key值利用、SQL格式，未来还要把正向Binlog直接生成反向 Binlog，不走SQL解析，直接走MySQL并行回放机制，直接应用到数据库。

　　5、事务隔离性的各种异常

　　我们如何处理事务隔离性的各种异常？首先，事务隔离性的各种问题都是并行调度处理不好导致，如果写写冲突，处理不当，会导致 ‘脏写’。比如： T1w、T2w、T1a，基于被回滚的数据做了update，造成了丢失回滚。再比如，写读冲突处理不当，导致‘脏读’，如果第一读，读到了未提交的数据，那就是脏读，如果多次读并读了不同版本的数据，那是不可重复读，由于事务并发导致前后读出的多个数据间不满足原有约束，那是读偏序，由于事务并发导致满足条件的结果集，变多或者变少，那是幻读。此外，还有读写冲突，处理不当导致 ‘脏写’ ，比如：T1r、T2w、T1w，T2w被覆盖，会导致丢失更新。最后是写偏序，这是一种违反语义的异常，在数据库层面看正常，但是达不到你要求的效果，就像黑白球，我有一黑一白两个球，事务一要把黑球改成白球，事务二要把白球改成黑球，当在快照级别隔离下，两个事务一起并发操作时，会导致最终事务一改了一个球，事务二改了一个球，一黑一白变成了一白一黑，这种情况是错误的，不满足于任意一种串行处理结果。以上这些异常都是并发调度没有处理好的结果。

　　在《A Critique of ANSI SQL Isolation Levels》论文中，总结了隔离级别及对应的现象。首先，R R级别的隔离解决不了幻读；其次，SI隔离解决不了写偏序。只有可串行化的隔离级别才能解决所有问题。有人说MySQL级别的R R隔离能解决幻读，其实MySQL级别的R R隔离并非论文里指出的R R级别,它实际上是SI的隔离级别。

　　那么，实现可串行化隔离级别的方式有哪些呢？第一种方式是严格按照串行顺序执行，这种方式肯定能保证隔离性。像Voltdb，号称是最fast的内存数据库，通过串行保证隔离性，通过在存储过程里执行保证了原子性。Redis是单线程跑，所以隔离性也没有问题，但是Redis只支持单语句事务，只能保证单语句的原子性。如果你需要Redis去做多行的事务，就需要自己去保证它的原子性。第二种，是运用SS2PL技术，加锁解决幻读 。比如：MySQL、SQL Server、Informix的隔离级别，实际上都是通过SS2PL技术做到可串行化的隔离级别。第三种，可串行化的快照隔离SSI，可解决写偏序问题。像PostgreSQL、FoundationDB，都是这种模式的隔离。这三个都是正确的隔离，而其他的隔离都是对性能的妥协，都是不正确的。

　　6、如何通过2PL进行事务并发控制？

　　这里主要看下如何通过2PL进行事务并发控制。Eswaran等人已经证明：遵守2PL算法的并发调度一定是可串行化的。什么是2PL？是指在数据库事务处理中的两阶段锁定，前一个阶段只能加锁，后一个阶段只能释放锁。如果所有的事务都能遵循这样一个原则去处理，并发起来的最终结果就等同于某一种串行化的并发调度结果了。不考虑事务Commit时的失败，那2PL这就够了，已经能保证事务的一致性了。但是这个可串行化的可能太多了，而且LockPoint比较难找，所以大部分厂商的实现方式都是SS2PL，都是把读锁和写锁的释放放到Commit阶段一起去执行。

　　问题是，从2PL到SS2PL到底有哪些限制？第一个是到S2PL，它做了第一个限制，先把写锁放到Commit，当一个事务对某个数据做了修改，但是没提交之前，所修改的数据的后像是不能被其他的事务读或者写的。SS2PL则在S2PL基础上，把读写也放到了最后。如果一个事务做了修改，那么所做修改的数据的前像是没有被其他事务给读过的，SS2PL最终达到的效果是，在所有的可串行化的并发调度里最终选择了某一种或者某几种，来保障事务的特性。

　　GoldenDB是怎么做事务的并发控制的？GoldenDB引入了全局事务管理器（GTM：Global Transaction Manager）实现全局事务的隔离性，并协助实现全局事务的原子性。

　　与SS2PL的比较，GTM封锁是在事务提交之前，所有的GTID相关的数据都不能被读取和修改。活跃事务列表里的GTID，相当于写锁。保障了写写和写读冲突下的数据一致性。另外，通过对读操作显式加锁，达到严格的SS2PL效果，保障了读写冲突下的数据一致性。而SS2PL只在事务提交的的时候才释放读锁和写锁。

　　GoldenDB还有一个预锁机制，用来解决如下问题：DBProxy查询到的活跃事务列表是旧的；DBProxy基于活跃事务列表做的判断是不准确的。GoldenDB的解决办法是，将所有的可能性冲突都认为是冲突。在返回活跃事务列表中，增加Max_GITD，Proxy判断如果GTID大于Max_GITD，也认为该事物是存在冲突的。

　　总结下来，对于事务处理中的写一致处理，涉及两个方面：一个是满足条件的记录上无锁， GTID不活跃，就可以直接修改数据，如果GTID活跃，这个时候需要通过预锁机制重新等待GTID被释放；另外是满足条件的记录上有锁，只能先走单机锁冲突的事务处理机制，等到锁释放了，再去判断GTID是否活跃。

　　对于事务处理中读一致性的处理：在脏读的场景下，不做任何判断，直接读，但是不推荐这种隔离级别；读已提交，如果有排它锁，证明这条数据有事务正在修改，直接读它的前像。如果无排它锁，GTID不活跃，没有单机事务，全局事务，直接读当前数据行。如果无排它锁，GTID活跃，说明没有单机事务，但是有全局事务，仍然不能读单机上的数据，需要去读 数据，这个前像数据的purge操作需要全局进行；在读已提交的场景下，有排他锁和无排他锁、GTID活跃场景的处理方式是一样的；在可重复读，有排它锁的情况下，会按照GTID版本号去找，找到快照开始时候的版本号。在可重复读的场景下，无排它锁，GTID不活跃，看上去没有问题，但是当前数据行有可能已经被提交过了，不能直接读，需要筛选版本判断是否需要找前像数据。无排它锁，GTID活跃，也是一样的，需要去找满足条件的GTID版本号的事务版本；可序列化级别也如此，加共享锁无冲突，GTID不活跃，可以直接读数据，如果GTID活跃，还可以读数据，但是要把活跃的冲突的GTID号给带上去，DBProxy根据预锁的机制，判断什么时候GTID能正常释放，如果正常释放，数据就可以读到。不能的话，需要把事务重启。在可序列化、加共享锁有冲突的场景下，仍然按照单机锁冲突的并发控制去处理。

　　事务处理模块优化有哪些实践经验？

　　在GoldenDB上有个GTM，是一个主要的优化点。怎么解决性能的瓶颈？首先，GTM被设计得很简单，只有三个流程，负责GTID的分配、回收，负责向计算节点提供活跃事务ID的查询的一个接口。GTID的分配和回收需要实时落盘，GTID相当于一个大号的Binlog ，一次写盘大概1μs，理论上限100万 TPS，能否突破？另外一个优化点是，Proxy和GTM之间的消息交互，对网络资源消耗过大，理论瓶颈1.25GB 带宽如何利用？

　　1、申请/释放GTID优化：Proxy批量请求

　　在释放GTID的时候，做了批量释放，能够做到减少交互次数，降低交互的数据量。在申请GTID的时候也做了批量申请，但是这里有个问题，在RC和串行隔离下面，可以任意使用批量申请，但是在RR隔离下面，是不能肆无忌惮的去使用批量申请的，在RR隔离级别下，是基于GTID的数据快照，要求GTID是严格单调的，所以在GTID申请的时候，还是要保障GTID单调，先来的事务先获得GTID。但实际上，由于系统的调度都是有误差的，比如Proxy1向GTM申请了GTID1，要去修改数据A, Proxy2向GTM申请了GTID2,也要修改数据A，虽然是Proxy1先申请，但是他不一定能最快地给数据I加上锁，所以靠分配GTID去严格保障时间顺序，有误差。也就是数据库调度会有问题，不能保证先来的请求一定会先被执行。所以，在一定误差范围内，分配的GTID可以不保证严格单调的，需要做额外处理。Proxy1先申请了1000个GTID，我需要他在很短的时间内把这1000个GTID给用掉，如果不用，需要有一个废弃的机制，相当于保证GTID申请的这些事务在误差内保证单调。这样可也减少交互次数，降低交互数据量。

　　2、查询GTID列表优化：Proxy进行组提交

　　Proxy北向是一个数据库连接池，跟应用的连接池做交互，有的执行线程是在做建链，有的是在做SQL解析，但是也有可能他们都在做GTID的查询，如果所有的线程都能直接和GTID去做交互，交互数据量会很大。所以，代理线程可汇总执行线程的请求，然后跟GTM做单独的交互，并且这个交互是单线程单工的，使用一份活跃事务列表应答。当在途请求没有返回时，代理线程不会发送新的查询请求。

　　3、查询GTID列表优化：GTM进行组提交

　　GTM和Proxy是一对多的，多个计算节点去访问同一个GTM，GTM在汇总多个Proxy请求以后，他也可以产生一个子线程出来。专门处理GTM返回请求的拼装，用同一份活跃事务列表应答不同Proxy发来的请求。 当子线程没有拼装完返回列表时，不会处理新的请求，这和Proxy处理机制类似。

　　4、组提交优化后对预锁机制的影响

　　有一个问题是，刚在Proxy上和GTM上都做了组提交，但对之前的预锁机制，对性能到底有没有影响。在优化之前的场景下，Proxy上所有向GTM发的查询请求，都需要过0.5ms（32k包大小万兆下的双向时延）才能收到响应，Proxy获取到的事务列表都落后GTM0.25ms；优化之后，Proxy上所有的请求，在0~0.5ms 内会收到响应，Proxy获取到的事务列表的时间没有变化，仍然是落后GTM0.25ms，经过组提交优化后，并未增加单消息处理时延。可能有人会问，如果以后性能要求更高的情况下，如何处理带宽占用的问题？我们可以通过自适应算法精简请求，依据请求数、统计时间和当前负载情况，实时修改发送周期。另外，可以通过数据压缩技术，通过记录GTID起始值(8Byte)和偏移量位图(255Byte)，将数据包大小由32k降到1K以内，压缩后万兆的带宽允许提供1200个Proxy。所以，Proxy和GTM的带宽不会是性能瓶颈。

　　5、申请释放GTID优化：GTM线程优化

　　这是之前踩的一个坑，之前是按照做DB的思路去做GTM上的持久化，专门弄了一个Flush线程去写日志，但是没有考虑到一个问题就是GTM上的数据结构非常简单，消耗的不是I/O，消耗的是IOPS，专门弄一个线程去做异步处理，处理得很快，每次收到的请求很少，导致IOPS非常高，而且线程切换非常严重。但是，把它变成串行化处理了以后，请求积攒了，IO量变大了，但是IOPS会降下来，不用做CPU的线程的切换了，CPU也减低了。

　　经过各种优化后，GoldenDB在这个数据模型下，经过了严苛的技术验证，实现了3亿客户15亿账户转账交易、明细查询40000 TPS的支撑能力。在这一过程中，还模拟了软硬件故障的各种测试，能满足核心业务强一致性要求，正确率达到100%。同时，在这个场景下，做了当Proxy是瓶颈的时候，去扩展Proxy；在DB是瓶颈的时候，去扩展DB的一个测试。其中，计算节点扩展线性率达到100%，数据节点扩展线性率95%。在故障隔离方面，计算节点故障、不影响整体系统交易；数据节点故障的时候，不影响其他节点交易。