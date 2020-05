Verteilte Transaktionen sind out, das haben die Software-Architekten im Laufe der letzten Jahre erkannt. Neuere Persistenzsysteme bieten die Funktionalität für verteilte Transaktionen gar nicht an oder empfehlen dieses Transaktionsverhalten, falls doch vorhanden, nur in Ausnahmefällen zu verwenden. Doch was kann man als Software-Architekt empfehlen, wenn die fachlichen Anforderungen so gestaltet sind, dass Daten, die in mehreren Datentöpfen persistiert werden, zueinander konsistent sein müssen? Der nachfolgende Überblick soll die Auswahl der passenden Umsetzungsstrategie, abgestimmt auf den jeweiligen Use Case, erleichtern.

Wieso keine verteilten Transaktionen?

Verteilte Transaktionen (XA transactions) basieren auf dem Two-Phase-Commit (2PC) Protokoll. Dieses Protokoll war in der Vergangenheit essentieller Bestandteil eines jeden Datenbanksystems und wurde somit das zentrale Konzept, um das Konsistenzproblem bei verteilten Datenbanken zu lösen. Doch wo liegen nun die Probleme beim Einsatz dieses Protokolls? Durch die synchronen Eigenschaften des Protokolls werden verteilte System miteinander sehr eng gekoppelt. Der Ausfall eines der beiden Systeme wird auch das andere System stark beeinträchtigen. Neben dem Absturz eines der beiden Systeme, was eher selten der Fall ist, kann es aber auch zu Problemen in der Kommunikation untereinander kommen (siehe Fallacies of distributed computing). Beide Fehlerwahrscheinlichkeiten zusammen genommen erhöhen das gesamte Ausfallrisiko. Nachdem man sich endlich eingestanden hat, dass Ausfälle passieren können, wurde begonnen, nach Alternativen zu suchen. Doch dazu später mehr.

Das 2PC-Protokoll ist, wie der Name schon sagt, in zwei Phasen unterteilt. Phase 1 ist die sogenannte Prepare-Phase, welche im zweiten Schritt mit der Commit-Phase abgeschlossen wird. Jede XA-Transaktion muss diese beiden Phasen durchlaufen, wodurch die Ausführung der Transaktion sehr langsam wird. Ein Mehr an Kommunikation erhöht wiederum die Wahrscheinlichkeit eines Fehlers. Für den Fehlerfall eines Absturzes muss das Datenbanksystem eine Recovery-Funktionalität besitzen, welche das System wieder in einen fehlerfreien Zustand versetzen kann. All diese Anforderungen an das 2PC-Protokoll erhöhen die Komplexität eines Datenbanksystems enorm. Bei Hochlastsystemen hat man sich daher als Software-Architekt immer schon zweimal überlegt, ob der Use Case eine verteilte Transaktion erforderlich macht oder ob man darauf verzichten kann.

Doch es gibt auch ganz triviale Gründe für die Vermeidung von verteilten Transaktionen: Sie sind schlicht und ergreifend gar nicht möglich. Aktuelle Systeme kommunizieren über REST APIs auf Basis von HTTP miteinander und HTTP bietet eben keine verteilten Transaktionen an. Oder zur Speicherung werden Datenbanksysteme verwendet, die keine verteilten Transaktion unterstützen.

ACID vs. BASE

Mit dem Wegfall von verteilten Transaktionen und der Persistierung in verteilen Systemen hat sich ein neues Konsistenzmodell etabliert. Früher hat ACID als gängiges Konsistenzmodell alleine dominiert, auch die verteilten Transaktionen garantier(t)en diese Eigenschaften. ACID steht für atomic, consistent, isolated und durable und stellte sehr harte Bedingungen an das Datenbanksystem. Mit dem erfolgreichen Festschreiben der Transaktion (commit) kann man sich sicher sein, dass die Änderungen an den Daten definitiv sofort und dauerhaft ausgeführt wurden. Alle nachfolgenden Lese-Operationen liefern immer den aktuellen Datenzustand.

Im Zuge der NoSQL-Bewegung wurde vermehrt ein neues Konsistenzmodell etabliert: BASE. BASE steht für basic availability, soft-state, eventual consistency. Die Implementierung von BASE ermöglicht den NoSQL-Systemen, bezüglich einer sofortigen Konsistenz und Datenaktualität ein paar kleine Abstriche in Kauf zu nehmen. Was aber nicht bedeuten soll, dass die Änderungen an den Daten verloren gehen, sondern manchmal erst etwas zeitversetzt ausgeführt werden. Den Vorteil, den man sich mit diesem Tradeoff erarbeitet hat, liegt in der sehr guten Skalierbarkeit und der besseren Resilienz solcher Systeme. Ein möglicher Ausfall wird also als Wahrscheinlich akzeptiert und kann somit auch besser kompensiert werden.

Schlussendliche Konsistenz („eventual consistency“)

Der „Preis“, den man bei BASE zu zahlen hat, wird als eventual consistency bezeichnet. Leider ist die deutsche Übersetzung („eventuelle Konsistenz“) ein wenig unglücklich, da die Konsistenz nicht eventuell ist, sondern auch bei BASE definitiv garantiert wird. Nur eben ein wenig später als bei ACID. Dieser Umstand wird mit der deutschen Entsprechung „schlussendliche Konsistenz“ besser ausgedrückt.

Die Erfahrung der letzten Jahre hat immer wieder gezeigt, dass Software-Architekten und Anwender sich mit diesem Umstand erstmal anfreunden müssen. Es wurden immer wieder Fragen gestellt wie beispielsweise: „Wann sind die Daten in dem anderen System gespeichert und wie soll der Anwender damit umgehen, dass er unter Umständen ‚alte‘ Daten angezeigt bekommt?“ In solchen Fällen war immer das Beispiel aus dem Online-Banking hilfreich. Jahrelang war man es als Bankkunde gewohnt, nach einer Überweisung den reduzierten Kontosaldo sofort zu sehen, obwohl die Überweisungsliste erst sehr viel später die Überweisung angezeigt hat. Wieso sollte dieses Verhalten im Online-Banking nicht auch in anderen Systemen gängige Praxis sein? Nach dem Abwägen der Vorteile zu Resilienz und Skalierbarkeit (durch BASE) wird bei den meisten Use Cases die schlussendliche Konsistenz durch den Anwender dann doch akzeptiert.

Die „neuen“ Umsetzungs-Strategien

Neue Softwaresysteme, die mittels Service-zu-Service-Calls arbeiten und auch verteilte Datentöpfe verwenden, sollten nach den Erfahrungen der letzten Jahre nicht mehr mit verteilten Transaktionen arbeiten. Doch welche Möglichkeiten gibt es, zumindest die schlussendliche Konsistenz zu erreichen, ohne dabei Datenverluste zu erleiden? Viele der nachfolgenden Strategien existieren teilweise schon seit Jahrzehnten, sind jedoch heutzutage immer noch das Mittel der Wahl.

Best Efforts 1 PC

Der erste Gedanke, den man bezüglich Transaktionssteuerung hat, ist die Umsetzung mit Best Efforts 1 PC. Ein Artikel von Dr. David Syer aus dem Jahr 2009 hat diesen Ansatz sehr gut beschrieben. Das Grundprinzip basiert darauf, zwei getrennte Transaktionen so zu verschachteln, das erst ganz spät am Ende der Ablauflogik der Commit gegen beide beteiligte Systeme ausgeführt wird. Alle möglichen Fehlerfälle der Businesslogik wurden zuvor gelöst oder sind erst gar nicht aufgetreten. Der Commit der beiden Transaktionen erfolgt unmittelbar aufeinander, es befindet sich also keine Zeile Code mehr dazwischen. Die Annahme, die dahinter steht, ist die Hoffnung, dass zwischen den beiden Commits nichts passieren wird. Was aber stattfinden kann, sind aber die klassischen Probleme bei der Kommunikation mit verteilten Systemen. Es kann also durchaus sein, dass der erste Commit erfolgreich bestätigt wird, die Ausführung des zweiten Commits wegen einem Netzwerkfehler abgebrochen wird und die Daten per Rollback zurückgerollt werden. Das Endergebnis ist ein inkonsistenter Zustand der Daten. Um dies zu vermeiden, könnte eine erneute Ausführung des zweiten Commits versucht werden, jedoch auch diese Fehlerkompensation kann den konsistenten Gesamtzustand nicht garantieren, wenn das zweite Datenbanksystem für längere Zeit nicht erreichbar ist.

Die mögliche Inkonsistenz, auch wenn sehr unwahrscheinlich, führt in einer ersten Reaktion zur Ablehnung dieses Ansatzes. Auf den zweiten Blick passt diese Strategie sehr gut zu Use Cases, bei denen der Verlust der Datenänderung nicht ins Gewicht fällt oder der mögliche Datenverlust wegen der fehlenden Transaktionseigenschaften in den Folgesystemen akzeptiert werden muss. IoT-Systeme schicken so viele Messdaten, dass es in der Regel auf den Verlust von ein paar wenigen Daten nicht ankommt. Oder das Schreiben erfolgt gegen ein System, das gar keine Transaktionen kennt, wie beispielsweise ein LDAP-Server.

Transactional Outbox oder Outgoing Transactions

Ist der Verlust der Daten nicht akzeptabel, so kann als Alternative die Transactional Outbox eingesetzt werden. Das Prinzip hierbei ist das transaktionale Schreiben in die fachlichen Tabellen der Anwendung und in eine sogenannte Outgoing Table innerhalb der selben Datenbank. Die Outgoing Table enthält die Nachrichten, welche an das andere System übertragen werden müssen. Ein weiterer Prozess selektiert diese Datensätze und kümmert sich um die gesicherte Übertragung an das andere System. Dieser Schritt erfolg wiederum innerhalb einer Transaktion.

Damit ergeben sich ein paar wichtige Vorteile. Die Daten in der Outgoing Table sind nicht verloren. Ein Fehler in der Übertragung der ausgehenden Datensätze kann so oft wiederholt werden, bis sie erfolgreich durchgeführt wurden. Dies geschieht ohne Beeinträchtigung der ursprünglichen Transaktion, da diese bereits festgeschrieben wurde. Falls die Daten in der Outgoing Table schon im gewünschten Format vorliegen (beispielsweise im JSON-Format), muss sich der Übertragungsprozess nicht mehr um die Konvertierung kümmern. Der Übertragungsprozess kann Bestandteil der Anwendung sein oder auch als eigenständiger Prozess betrieben werden. Darüber hinaus kann der Prozess so generisch implementiert werden, dass er für viele Outgoing Tables in unterschiedlichen Systemen verwendet werden kann. Im Kubernetes-Umfeld wäre ein sogenannter Sidecar-Container mit dieser Funktionalität sehr gut einsetzbar.

Damit der Transfer der Nachrichten nicht zum Erliegen kommt, ist die Überwachung des Übertragungsprozesses ein kritischer Faktor. Da sich ein eigenständiger Prozess in der Regel leichter überwachen lässt als ein Thread innerhalb der Anwendung, sollte der Übertragungsprozess außerhalb der eigentlichen Anwendung laufen. Hierbei bietet Kubernetes sehr gute Dienste, indem der getrennt laufende Container mit Health Checks versehen werden kann.

Change Data Capture (CDC)

Da in den meisten Fällen die Persistierung der Daten in einem relationalen Datenbanksystem erfolgt, bietet sich mit CDC eine Möglichkeit an, die nach demselben Funktionsmuster wie die Outgoing Table funktioniert. Der einzige Unterschied liegt darin, dass die Änderungen in der Datenbank aus dem Transaktions-Log gelesen werden. Somit kann für jede Tabelle der Datenbank eine CDC-Überwachung definiert werden. Erst wenn die Änderung an den Tabellen im Transaktions-Log festgeschrieben wurde, startet der CDC-Prozess mit seiner Arbeit. Viele der großen kommerziellen Datenbankhersteller bieten diese Funktionalität schon seit sehr vielen Jahren an. Aber keine Sorge, wer sich im Open-Source-Umfeld aufhält, findet bei Debezium die notwendige Unterstützung für seine Datenbank.

Ein Nachteil bei CDC liegt darin, dass die betroffenen Tabellen, so wie sie in der Datenbank definiert werden, auch über das Transaktions-Log überwacht werden. Eine fachliche Änderung innerhalb der Datenbank kann sich aber über mehrere Tabellen erstrecken. Dies hat zur Folge, dass solche Änderungen wieder zu einer Gesamtheit zusammengeführt werden müssen. Hierfür bietet es sich an, die Outgoing Table von oben einzusetzen, welche dann vom CDC-Prozess überwacht wird. Wer will, kann zur denormalisierten Befüllung der Outgoing Table die altbekannten Datenbankobjekte wie Trigger und Stored Procedure einsetzen. Somit bietet die Kombination aus Outgoing Transactions und CDC ein mächtiges Werkzeug, um die Daten zuverlässig zu übertragen.

Single Source of Truth (SSOT)

Die Strategie SSOT ist auch nicht neu. Das Prinzip dahinter besagt, dass die Wahrheit der Daten an einer einzigen Stelle liegen soll. Von dieser Stelle aus können sich andere Systeme die Daten holen und sind zum Zeitpunkt des Abrufens sicher, dass es sich um den aktuellen Stand handelt.

Übertragen auf unsere Problemstellung der Kompensation nicht vorhandener verteilter Transaktionen ergibt sich also die folgende Möglichkeit: Datenänderung in einem Service werden nicht sofort in der zugehörigen Datenbank selbst gespeichert, sondern werden stattdessen transaktional an ein Messaging-System übertragen. Die Services besitzen einen Message Consumer, der auf diese Nachrichten lauscht. Sobald die Nachricht von den Consumern empfangen werden, führen diese die Änderung in der jeweiligen Datenbank aus. Die Rückübertragung der Nachricht vom Messaging-System in die Datenbank erfolgt wieder innerhalb einer Transaktion. Eine ausführliche Beschreibung unter Verwendung von Kafka kann auf dem Blog von Confluent nachgelesen werden.

Der Einsatz dieser indirekten Datenänderung macht vor allem dann Sinn, wenn auch noch andere Systeme an den Änderungen interessiert sind. Sobald diese Nachrichten als Events modelliert werden und als grundsätzliches Kommunikations-Muster eingesetzt werden, spricht man von Event-Sourcing.

Ein Nachteil beim SSOT liegt in der Tatsache begründet, dass auch der Service, der die Änderungen direkt vom Client-Aufruf empfangen hat, diese nicht sofort in seiner Datenbank speichert. Der Client bekommt die Änderung als erfolgreich bestätigt, sobald die Nachricht ins Messaging-System übertragen worden ist. Verzögert sich nun die Verarbeitung durch den eigenen Message Consumer, so bekommt der Client, falls er direkt danach die vermeintlich geänderten Daten abfragt, immer noch die alten Werte angezeigt. Dieses Verhalten ist einem Anwender nur sehr schwer zu erklären und im Normalfall geht der Anwender davon aus, dass seine Änderungen nicht ordnungsgemäß ausgeführt wurden. Damit verschwindet das Vertrauen in die Korrektheit, wodurch die schlussendliche Konsistenz auch in Frage gestellt wird.

Saga

Die letzte Möglichkeit in dieser Aufzählung sind Sagas. Sagas sind Abfolgen von lokalen Transaktionen, die wiederum weitere lokale Transaktionen über Events oder Trigger in anderen Services auslösen. Sobald ein Fehler auftritt, wird eine Serie von sogenannter Kompensationstransaktionen ausgelöst, welche die zuvor gemachten Änderungen wieder rückgängig machen. Die Weiterleitung der Events bzw. Trigger kann dabei über ein Messaging-System oder durch direkte synchrone Aufrufe stattfinden. Die Steuerung dieser Abfolge der lokalen Transaktionen kann dezentral also mittels Choreographie oder zentral über eine sogenannte Orchestrierung erfolgen.

Die Umsetzung mit einer zentralen Steuerungslogik ähnelt sehr stark dem Vorgehen bei einer verteilten Transaktion (2 PC). Hier ist auch der zentrale Transaktionsmanager für die Abfolge der Transaktionen in den beteiligten Transaktionspartnern zuständig. Im Fehlerfall muss er alle Transaktionspartner über den Rollback informieren, wodurch diese dann für das Zurückführen der Änderung zuständig sind. Im Falle der Datenbanken wird einfach das sogenannte After Image verworfen und das Before Image wieder als aktueller Datenstand gespeichert. Dieser Rollback kann bei Sagas nur sehr umständlich umgesetzt werden. Jeder Service muss die Businesslogik für das Zurückrollen der Änderungen selbst implementieren, was einen nicht unerheblichen Programmier- und Testaufwand darstellt.

Es gibt jedoch noch einen speziellen Nachteil, den man bei Sagas kaum verhindern kann. Sobald ein Service die Änderungen der sogenannten Saga-Transaktion lokal bei sich ausgeführt hat, können diese Daten von anderen Services über einen API-Aufruf gelesen werden. Werden diese Änderungen jetzt mit einer Kompensationstransaktion im Rahmen der Saga wieder zurückgerollt, so bekommt der API-Aufrufer nichts davon mit. In der Datenbankwelt spricht man von Phantom Reads oder Dirty Reads. Der API-Aufrufer hat also Daten gelesen, die er eigentlich nie hätte sehen sollen, da die zugrundeliegende Transaktion später zurückgeführt wurde.

Beim dezentralen Ansatz zur Koordination, also mittels Choreographie, kommt es immer wieder zu dem Fall, dass eine Saga-Transaktion empfangen wird und eine weitere Saga-Transaktion ausgelöst werden muss. Es findet also eine lokale Transaktion gegen die Datenbank und die Erstellung einer weiteren Saga-Transaktion statt. Im Falle von asynchroner Weiterleitung der Saga-Transaktion ergibt sich somit wieder die Notwendigkeit einer verteilten Transaktion. Der Übergang in Richtung Event Sourcing kann damit fließend einhergehen.

Fazit

Man sollte je nach Use Case entscheiden, welche der aufgeführten Strategien am besten passt. Je einfacher das gewählte Verfahren, desto einfacher ist die Umsetzung und desto geringer ist die Wahrscheinlichkeit, Daten in einem inkonsistenten Zustand zu hinterlassen. So kann es durchaus sein, dass ein Best Efforts 1 PC für den speziellen Fall genau die richtige Wahl darstellt.

Outgoing Transactions in Kombination mit CDC bieten ein relativ einfach verständliches Verfahren, das ohne Datenverluste große Sicherheit bietet. Auch ohne den Einsatz von CDC kann man mit vernünftigem Aufwand eine sichere Lösung selbst implementieren, welche bei der passenden Generik mehrfach zum Einsatz kommen kann. Dieser Mehrfacheinsatz führt automatisch zu einer breiten Testbasis und außerdem wird der anfängliche Implementierungsaufwand sehr schnell amortisiert.

Der SSOT-Ansatz verschwimmt in den Projekten sehr oft mit Event Sourcing. Wenn die Umsetzung von SSOT schon nach den Prinzipien von Event Sourcing erfolgt (Events als Nachrichtenformat) ist die Möglichkeit des Einsatzes von Event Sourcing zumindest nicht blockiert. Ob Event Sourcing für ein Projekt der richtige Ansatz ist, sollte jedoch unter Einbeziehung weiterführender Kriterien diskutiert und aktiv entschieden oder abgelehnt werden.

Sagas können zum Teil sehr kompliziert werden und bieten somit in der Umsetzung einiges an Fehlerpotential. Die notwendigen Kompensationstransaktionen erhöhen ebenso den Aufwand für die Verwendung. Darüber hinaus müssen diverse Entscheidungen zur Transaktionskoordination und zur Weiterleitung der Transaktionen getroffen werden. Ohne passende Frameworks sollten Sagas nicht die erste Wahl zur Vermeidung von verteilten Transaktionen sein. Leider ist die Auswahl an Saga Frameworks noch sehr gering. Aktuell stehen im Java-Bereich nur sehr wenige Saga Frameworks zur Auswahl (u.a. Eventuate Tram Sagas) und MicroProfile bemüht sich seit Langem, mit MicroProfile Long Running Actions (LRA) auch einen Standard zu etablieren. Bleibt also abzuwarten, ob sich in diesem Gebiet in Zukunft noch etwas bewegt.