故事
一九六七年四月的纽约下着冷雨。
哈尔·雷诺兹把伞收起来抖了抖水,走进曼哈顿信托银行总部大楼七层的内部审计部。他四十三岁,穿一件深灰色的西装,打一条不起眼的条纹领带,手里夹着一个棕色的皮夹。秘书玛琳给他倒了一杯咖啡。
"雷诺兹先生,"她说,"摩根先生九点半要见您。三楼他的办公室。"
"知道了。"
哈尔坐下来,打开皮夹,取出一沓文件。最上面那张是昨晚他让支票清算部门送来的报告——一张列表,上面是过去三个月里所有"清算失败但现金已经支付"的账户。总共十七笔。金额从几百美元到两千多美元不等。
这类账单每个月都有。支票是假的、账户是空的、签字不对——银行每月都会损失一些这样的钱。按行里的规矩,单笔在五百美元以下的,直接核销,不追究;五百美元以上的,交给外部的警方处理。审计部门自己一般不管。
但哈尔昨天晚上在家里把这十七笔摊在厨房的桌子上看了两个小时。
他看到了一些别人没看到的东西。
九点二十五分,哈尔拿着那叠文件上了三楼。摩根先生的办公室在走廊尽头,透过半开的门能看见里面铺着深绿色的地毯。阿瑟·摩根是信托银行的副行长,主管运营和风险。五十八岁,二战的时候在陆军财政部做过。哈尔战后到信托银行就是他招进来的。
"哈尔,"摩根抬起头,"什么事这么急?"
哈尔把那张清算失败的列表递过去。"阿瑟,过去九十天,我们损失了一万八千美元。这种损失一直都有。没什么新鲜的。"
"那——"
"不新鲜的是金额。新鲜的是这些损失的样子。"
摩根戴上老花镜,看那张列表。
"十七笔事件,"哈尔说,"分布在二十八家分行里。每一笔单独看都像是普通的小额支票诈骗。但我把它们按时间轴和地理位置摊开之后——"
他从皮夹里取出第二张纸。那是一张纽约五大区的地图,上面画了十七个红点,每个点旁边写着日期和金额。红点之间用细铅笔线连了起来,形成一张看起来像蛛网的图。
"每一个案子的模式都一样,"哈尔说。"星期四或星期五下午,有人在一家分行存入一张支票——金额通常在一千到两千美元。然后在支票还没被我们清算之前——也就是还没被实际扣款之前——同一个人或一个他的伙伴,在另一家分行把钱取出来。"
摩根看了一会儿地图。"这不是新问题。支票骗子都这么干。"
"是不是新问题,取决于你怎么看它。"哈尔说。"按我们现在的流程,一张支票要清算多久?"
摩根想了想。"同一家银行、同一个区的,当天。跨区的,通常一到两天。跨州的,五天以上。"
"一到两天。"哈尔重复了一遍。"摩根先生,我今天存一张空头支票到布鲁克林的海岸大道分行。我明天上午去麦迪逊广场分行把钱取出来。当中这一天多——那张支票还在信使口袋里、在清算中心桌上、在路上某处。海岸大道那家分行认为那张支票是真的,因为他们没听到任何相反的消息。麦迪逊广场那家分行查我的账户——看到余额里有这笔钱——放心地把钱给了我。第二天早晨,海岸大道的清算退回来,那张支票是假的。账上余额变成负的。我早就走了。"
"我知道这是怎么回事,哈尔。"摩根说。"这就是为什么我们有损失核销的预算。"
"问题在于,这个窗口这么宽,大到一个专门利用它的人可以连续做几十次。"
摩根摘下老花镜。"你的意思是——这十七笔是一个人干的?"
"至少一部分。"哈尔说。"我不确定有多少。但我能看出来,这些案子里至少有一组是在被编排的。请看——"
他指着地图。"三月十一日,布鲁克林湾脊区分行存入 1200 美元支票。三月十三日,皇后区法拉盛分行取款 900 美元。签名不同——是两个人。但是存入和取款的账户都是一个叫丹尼斯·韦弗的名字开户的。再看三月十八日,史坦顿岛圣乔治分行存入 1500 美元——取款在三月二十日,布朗克斯佛罕地区分行,600 美元。又是两个不同的人,又是同一个丹尼斯·韦弗账户的关联账户。"
"十七笔里,我能识别出六笔可能是同一组。"哈尔说。"但实际可能不止。这些人在系统地利用我们分行之间清算的延迟——他们知道支票要多久清算,他们知道不同分行之间多久能彼此通气,他们就卡在那个窗口里面取钱。"
摩根沉默了一会儿。
"你希望我做什么,哈尔?"
"我希望你让我深入查一下。"
摩根点了点头。"去吧。"
哈尔那年春天有一半的时间在分行里跑。他从曼哈顿到布鲁克林,从皇后区到布朗克斯,一家一家走。他和分行经理谈、和柜员谈、和清算中心的人谈。他随身带一个小本子,记每一家分行的具体流程。
他发现的事情比他想象的还要糟。
信托银行一共有一百零七家分行。每家分行都有自己的账户簿——一本大的、牛皮封面的册子,每天早上摆出来,晚上合起来放进保险柜。柜员每处理一笔交易,在册子的相应账户下划一行,写上金额、签上自己的姓名首字母。册子是那家分行自己的真相——是它在任何一个时刻对"账户余额是多少"这个问题的唯一答案。
问题在于,一百零七家分行的这一百零七本册子,彼此之间并不是实时同步的。
同步是通过三个机制维持的:
第一个机制:夜间信使。每家分行晚上关门之后,把当天的交易摘要——所有存款、取款、转账——用打字机打成一张表,封进信封,由信使在夜里送到布鲁克林区的中央清算中心。清算中心在凌晨把各家的表收齐,汇总出每个账户的"当日净变动",然后把结果——但只把结果——通过信使在早晨五六点送到每一家分行。分行七点钟开门之前,柜员把这些信息抄到自己的册子上。
第二个机制:电话询查。如果一个客户在 A 分行要做大额取款(通常是超过 2500 美元),柜员要打电话到中央账户部门核对他在全行的最新余额。电话通常要等几分钟,有时要等二十几分钟——中央账户部门只有四个人,全纽约的询查都靠他们。
第三个机制:大额跨区限额。不是分行自己的客户,如果要取现超过 1000 美元,要经理批准。经理要看身份证件、要看客户在哪家分行开的户、要自己判断。
这三个机制加起来,就是信托银行维持"这一百零七家分行从外面看起来像同一家银行"的全部手段。
哈尔很快发现,第一个机制的延迟是一天——也就是说,A 分行下午三点的一笔交易,B 分行最早要到第二天早晨七点才能知道。中间有大约十六个小时的窗口。
第二个机制理论上是实时的,但实际上慢得没法用。电话排队长、接通之后查询也慢——中央账户部门自己就是一本大册子,一个人一页一页翻找。柜员一般不愿意打这个电话,除非金额真的很大。
第三个机制主要依靠人。经理的判断如果错了、假身份证做得像、客户编的故事足够好——分行就会把钱给出去。
这三个机制合在一起,留下了一个"时间缝隙"——从一家分行的一笔交易发生,到其他分行能看到这笔交易,中间有从几小时到一整天不等的窗口。 对一个普通客户来说,这个窗口不重要——他不会存完钱立刻跑到另一家分行查。对一个诚实的客户来说,这个窗口甚至看不见——他要么只和自己熟悉的分行打交道,要么他的操作金额都不大、不会触发任何询查。
但对一个专门研究这个窗口的人来说,这个缝隙就是整个系统的漏洞。
五月中旬,哈尔第一次见到了丹尼斯·韦弗留下的痕迹。
丹尼斯·韦弗——哈尔认为这很可能是一个假名——在过去一年里在信托银行的七家不同分行开过账户。每家分行开户时他都用了看起来合法的身份证件——纽约州驾照、社会安全号、某个地址的电话账单。每家分行的柜员看了他的证件都觉得没问题。
但哈尔把这七份开户档案放在一起看的时候,他发现:
- 七份档案上的签名有细微不同。四份签"丹尼斯·韦弗",两份签"D·韦弗",一份签"丹·韦弗"。字迹从笔迹学看基本是同一个人的,但分行柜员不会把七份档案放在一起看。
- 七个地址分别在不同的街区。有三个地址经过哈尔查证之后,发现是空置的公寓或已经搬走的租户。另外四个目前还住着人,但那些人说从来没听说过"丹尼斯·韦弗"这个名字。
- 七个电话号码里,有五个是公用电话。
- 七份档案都是在星期四或星期五开户的——正是一周里最长周末之前。
哈尔把这七份档案摊开在他自己办公室的长条桌上,一张一张地对。他在桌上又摆了一张纽约的地图,在七个分行的位置上插了七枚图钉。
七家分行分布在五大区的各个角落。海岸大道、法拉盛、圣乔治、佛罕、杰克逊海茨、卑尔根街、上西区。没有两家在同一个清算路径上——也就是说,任何两家的清算都要经过总中心、没有一家能直接和另一家通气。
哈尔坐在他的桌子前想了很久。丹尼斯·韦弗(或者那个人真正的名字)不是一个偶然想到骗银行的小流氓。这个人懂银行的清算流程。他知道这家分行和那家分行之间要多久才能互相知道对方发生了什么。他知道哪家分行要什么样的证件才会开户、什么样的取款金额不会触发电话询查。他把信托银行的一百零七家分行当成了一百零七个独立的系统,然后找到了他们彼此之间看不见对方的那个时间缝隙。
这个人活在那个缝隙里。
哈尔花了六月和七月两个月做一件事——跟踪丹尼斯·韦弗账户的钱的流动。
模式每一次都一样。星期四下午,一个分行收到"丹尼斯·韦弗"开出的一张支票——开给他自己。支票来自别的银行——通常是哈尔无法触及的小银行、或者另一州的银行。这些支票都是假的。分行柜员收下,算在客户的账户余额里。
第二天,星期五——或者再过一天、星期六上午——有人拿着韦弗的支票或取款条,在距离头一家几十英里远的另一家分行取现。那个人通常不是韦弗本人——是另一个看起来普通的成年人,拿着合法的授权书、合法的身份证件。柜员打电话到中央账户部门,被告知韦弗的账户上"有足够的余额"。钱被取走。
星期一早晨,那张假支票清算退回。头一家分行的柜员给韦弗的登记地址发信——信退回来,查无此人。分行经理把案子上报审计部。
这个循环里,每一家分行都觉得自己做的是正确的事。头一家分行接受了一张看起来合法的支票。第二家分行根据一个当下的账户余额发出了一笔现金。中央账户部门在那个时刻报告的确实是余额里有这笔钱。但把这些单个的"正确"放在时间轴上看,整体完全是错的——韦弗在系统还没来得及发现他是骗子之前,把钱取走了。
哈尔在七月底的一个下午意识到:这不是一百零七家分行中的任何一家的错。是整个系统的架构决定了这件事会发生。只要各家分行之间的信息同步需要十几个小时,任何能够在这十几个小时内跳到另一家分行的人,就能把钱偷走。防范这种骗局不能靠训练柜员(每一家的柜员都做了他们该做的事),也不能靠找出韦弗是谁(韦弗可以换十个名字),只能改变系统同步的速度。
他开始起草一份备忘录。
八月十四日,哈尔再次走进摩根的办公室,带着一份十二页的备忘录。
"我想做四件事,阿瑟。"
摩根等他说。
"第一,所有超过 500 美元的跨分行取款都必须打中央账户部门的电话询查,不管客户是不是本行的。现在只有 2500 美元以上才询查——这个门槛太高。我算过了,把门槛降到 500 美元之后,需要询查的交易量大约增加三倍。中央账户部门要从四个人增加到十二个人,一天二十四小时轮班。"
摩根记笔记。
"第二,中央账户部门的电话线要专线化。现在他们用的是普通的总机线,打进来要等。我们要给他们单独铺线,至少十条,保证柜员一拿起电话就能立刻接通中心。每家分行柜台上要装一部直拨中心的专线电话。"
"第三,把信使轮转的频次从一天一次改成一天四次。每四个小时一轮——上午十点、下午两点、下午六点、晚上十点。这样任何一家分行发生的交易,最多四小时之后其它所有分行就能知道。"
"第四——"哈尔深吸一口气,"新开户的程序要加强。新开户不能当日就能用。要等三个工作日、清算中心对开户证件做完独立核实之后,这个账户才能正式接收存款、发出支票。这会让新客户不开心——他们要等三天才能用账户——但这三天是我们能发现假账户的时间。"
摩根把笔放下。
"这会花多少钱,哈尔?"
"我估算过。中央账户部门扩编每年约十五万美元。专线铺设一次性投入三十万,每年维护五万。信使轮转四倍增加每年十二万。开户程序变化没有直接成本,但会损失一部分急于用账户的新客户——我估算每年流失收入二十万左右。"
"总共差不多每年五十万美元的追加成本。"摩根说。
"对。"
摩根看着窗外纽约的街景。五十七街上有出租车在按喇叭。
"我们一年在支票欺诈上的损失是多少?"
"去年是二十二万美元。"哈尔说。"但我认为真实的数字——包括我们没识别出来的——应该在四十万左右。"
"也就是说你要花五十万,省下四十万。"
"短期看是这样。"哈尔说。"但长期来看不是。韦弗这样的人会越来越多。现在是十七笔、四十万。明年可能是五十笔、一百万。两年后这些人会知道哪一家银行没改制度,就会专门打哪家银行。如果我们是纽约第一家把这个窗口关上的银行,韦弗这样的人就会去别的银行。"
摩根笑了一下。"你这是威胁我。"
"我是在分析。"
摩根又看了一会儿窗外。然后他说:"我同意前三项。第四项——开户要等三个工作日——这个我做不了主。我要和董事会谈。"
"谢谢你,阿瑟。"
哈尔起身准备走。走到门口的时候摩根叫住他。
"哈尔。"
他回头。
"你知道你这几个措施合起来,本质上是想做什么吗?"
哈尔想了一会儿。
"我想让——这一百零七家分行,从外面看起来更像一家银行。"
摩根点头。"从我们客户的角度看。是的。"
"从骗子的角度看呢?"
哈尔愣了一下。
"从骗子的角度看——"摩根说,"你是想让他们看到的这一百零七家分行,也更像一家。他们现在能偷,就是因为从他们的角度看,我们是一百零七家不同的银行。你要把信息同步加快、让一家发生的事情别家立刻知道——这是在做同一件事。只是从不同的方向看。"
哈尔笑了一下。"是的。"
"但哈尔——" 摩根把老花镜摘下来,放在桌上。"你想做的事永远做不到。永远会有一段时间是骗子可以活在里面的。你把信使频次改到四小时,他们就在那四小时里动手。你改成两小时,他们就卡两小时。哪天我们真的搞到了——像电报一样快的——分行间通信,我保证还是会有一个几秒钟、几分钟的窗口,还会有一种更聪明的骗子活在那几分钟里。"
"我知道。"哈尔说。
"那你想做这个还有什么意义?"
哈尔想了好一会儿。
"意义在于——我想让这些分行越来越像一家。永远不可能完全像。但每一步都在逼近。等有一天我们真的有了像电报一样快的网络,韦弗那种人只能活在几秒钟里——他们从这种生意里能赚的钱,就少到不值得他们冒险。"
"这一天可能几十年以后才到。"摩根说。
"那也是要走的路。"哈尔说。
一九六七年十月,哈尔的前三项方案在信托银行分阶段上线。六个月之后——一九六八年春——信托银行当年的支票欺诈损失降到了九万美元,不到前一年的一半。丹尼斯·韦弗这个名字再也没有出现过——他可能换了名字、也可能去了别的银行、也可能彻底不干了。哈尔永远没有找到他。
那几年,哈尔每隔一段时间就会想起摩根那天的话——"永远会有一段时间是骗子可以活在里面的"。他知道那句话是对的。他接下来几年里推动的改进——半小时一次的信使、电报网络、后来的早期电子清算系统——都只是把那段时间变短。从来没有彻底消灭过它。
他退休的那一年是一九八五年。那一年信托银行已经接入了全美的实时结算网络。跨分行的转账要几分钟——不再是十几个小时。支票欺诈的模式已经完全不一样了——新的骗子在几分钟的缝隙里工作,或者开始用完全不同的办法,比如信用卡。
哈尔在退休时收到的告别卡上,他自己用钢笔写了几个字,给年轻的接班人留作笔记:
这家银行要从外面看起来像一家银行。所以它必须从里面真的变成一家——而这是世界上最贵的事情之一。
概念解析
这则故事讲的是分布式系统里最根本、也最严苛的一种数据一致性保证——线性一致性(Linearizability),由 Maurice Herlihy 和 Jeannette Wing 在 1990 年发表的论文 Linearizability: A Correctness Condition for Concurrent Objects 中提出。这是所有其他一致性模型的参照点——所有比它弱的模型,都是以放弃它的某条性质为代价换取性能或可用性。
定义
线性一致性可以用一句朴素的话概括:
一个分布式系统从外部看起来,应该和一台单机没有任何区别——而且这台单机响应请求的次序,必须符合真实时钟上的先后关系。
形式化地说,一个操作的执行过程是一个时间区间——从客户端发出请求那一刻到收到响应那一刻。线性一致性要求:每一个操作都有一个瞬间的"生效点"(linearization point),这个点落在操作的时间区间内;并且如果操作 A 的区间在操作 B 的区间开始之前就已经结束,那么 A 的生效点必须在 B 的生效点之前。
两条关键性质合在一起:
- 原子性:每个操作看起来像在某一瞬间完成的,没有"一半完成"的状态能被外部观察到。
- 实时顺序:如果按挂钟时间 A 先完成、B 后开始,那么整个系统里 A 在 B 之前发生——不能反过来。
第二条是线性一致性区别于其它强一致性模型的关键。它尊重真实时钟。
线性一致性要求什么,故事里哈尔·雷诺兹就想达到什么
信托银行的一百零七家分行,就是一百零七个分布式节点。每个客户在每个时刻看到的账户余额,是某个节点上那本牛皮账册里的一个数字。线性一致性要求的是:不管客户在哪家分行查账、不管客户刚在另一家分行做了什么操作,他看到的状态都应当反映出他在整个系统上的最新、完整的状态。
具体来说——
- 如果你上午十点在海岸大道分行存入 1000 美元,你上午十点零五分在曼哈顿分行查询,账上必须能看到这 1000 美元。(实时顺序)
- 如果你在一家分行取钱,没有人能同时在另一家分行看到一个"半取出"的状态——比如余额扣了、但你没拿到钱;或者你拿到了钱、但余额没扣。(原子性)
- 如果你的妻子在上午十点一分做了一笔转账、你在十点零二分查询,你的查询结果必须反映你妻子的转账——因为十点一分在十点零二分之前。(实时顺序)
在信托银行 1967 年的架构下,这些要求都做不到。"存在一家分行、另一家分行不能立即看到" 就是违反线性一致性——两家分行的状态不同步,意味着从外部观察,这个系统的状态不是单一的。对于诚实的客户来说,这个不同步只是偶尔的不便;但对一个专门研究这个不同步的人来说——哈尔在故事里追查的"丹尼斯·韦弗"——这就是可以系统性利用的漏洞。
骗子活在延迟里
故事的核心隐喻正在此。韦弗这样的骗子之所以能骗,是因为银行从外面看起来是一家、从里面其实是一百零七家。每家分行有自己的账册、自己的真相,分行之间靠信使、电话、电报来同步——任何两家分行之间的同步都是有延迟的。骗子就活在这个延迟里。
这个隐喻对分布式系统工程师来说格外深刻。一个系统放弃线性一致性的每一毫秒,都是在给骗子或 bug 留空间。当然,真实系统里的"骗子"不一定是蓄意的——它可能是一个程序员写出的竞态条件、一个并发操作触发的不一致、一个用户看到了不该看到的旧数据。所有这些问题都有同一个根源:系统节点之间的状态同步不是瞬时的。
哈尔的三个方案,对应分布式系统的三种实现策略
哈尔向摩根提的三个方案(不算第四项"开户等待"),在分布式系统里各自都有对应——
方案一:所有大额取款必须打中央询查电话。这相当于强制让所有读操作都经过同一个中心节点。单一的中心节点天然就是线性一致的——所有操作都在这里按某个顺序串起来。代价是中心节点的吞吐量成了整个系统的瓶颈,并且中心节点故障整个系统就停摆。
对应的分布式架构:单主数据库(single-master database)。所有读写都发到主库,主库依次处理。PostgreSQL、MySQL、早期的分布式系统大多是这个路线。
方案二:专线电报网络,让中心响应速度从十几分钟降到几秒。这相当于加强中心节点的处理能力、让中心节点不再是瓶颈。但线性一致性的结构没变——还是所有关键操作走中心。
对应的分布式架构:高性能主库 + 读扩展。主库用强大的硬件、快速的网络;读操作可以分发到从库,但只有不重要的读才分到从库(比如浏览历史、统计数据),关键读(比如余额、库存)还要走主库。
方案三:把信使轮转从一天一次改成一天四次。这相当于缩小复制延迟,但不消除它。这不能实现完整的线性一致性——在那四小时的窗口里还是可能出问题——但它把窗口缩小到大多数正常使用场景都感觉不到的程度。
对应的分布式架构:异步复制 + 容忍不一致。大部分现代互联网系统(社交、电商、游戏)都走这条路。放弃完美的线性一致性,换来性能和可用性。用会话一致性(read-your-writes)、单调读(monotonic reads)等弱一些的保证来弥补用户体验——"你自己的操作,你自己的后续查询能看到",但不保证别人看到。
线性一致性的代价
CAP 定理([✓#4 两座钟楼])告诉我们:在网络分区存在的时候,一个系统不能同时满足一致性(C)和可用性(A)。这里的 C 说的就是线性一致性。如果一个分布式系统坚持线性一致性,那么当网络分区发生时,它必须在"继续对外服务但可能返回错误数据"和"拒绝服务保持正确性"之间选一个——线性一致性的选择是后者。
这是哈尔和摩根那段对话的深层含义。摩根说:"你想做的事永远做不到。永远会有一段时间是骗子可以活在里面的。" 这不是悲观——这是 CAP 定理的实际版本。任何一个分布式系统都不可能同时做到严格的线性一致性、对所有请求都快速响应、并且在网络故障时还能继续工作。你必须在这三者里选两个。
哈尔选的是"尽可能逼近线性一致性"——通过缩小不一致窗口、通过让重要操作经过中心、通过强化中心的处理能力。这不是完美,但它是 1967 年能做到的最接近完美的方案。
现代的实现
当计算机网络真的像哈尔设想的"电报一样快"之后,线性一致性的实现变得便宜得多。现代的分布式系统有几条主要路径:
- 单主 + 同步复制:主库处理所有写,同步复制到多个从库,从库可以分担读。一致性强、性能受主库限制。
- 共识算法([✓#6 传灯人]):一组节点通过 Paxos 或 Raft 对操作顺序达成共识,整个组对外表现为一个线性一致的状态机。etcd、ZooKeeper、Consul、CockroachDB 都用这条。
- 原子时钟 + 提交等待(Google Spanner):用 GPS 和原子钟把各节点的时钟误差控制在几毫秒内,然后在提交时等待一小段时间确保时间顺序无误。这实现了比线性一致性更强的外部一致性(external consistency)——不仅系统内部顺序符合真实时钟,而且跨系统也符合。
- 单点串行化 + 分片:把数据分成很多片,每一片由一个串行化点管。片内线性一致,片间用其它机制协调。Redis Cluster、部分 NoSQL 数据库走这条。
这些方案没有哪一个是免费的。要从外面看起来像一家,内部必须付出代价——或是性能、或是可用性、或是复杂度。
更深的启示
故事里摩根问哈尔:"你知道你这几个措施合起来,本质上是想做什么吗?" 哈尔的回答触及了线性一致性的本质——让一个本来就是多节点的系统,从外面看起来像一台单机。
这个追求是分布式系统设计里一条永恒的张力线。一方面,把系统做成分布式是为了扩展性、可用性、容错性——分散带来的好处;另一方面,用户和应用程序员希望系统的行为简单可预测——集中带来的好处。线性一致性正是"分布式的内在 + 单机的外观"这个目标的数学定义。
而这个目标的实现,永远是付出代价的。故事里哈尔的话是所有分布式系统工程师的真相:
这家银行要从外面看起来像一家银行。所以它必须从里面真的变成一家——而这是世界上最贵的事情之一。
这不是抱怨。这是一条设计原则:在真正需要线性一致性的地方付出这个代价——账户余额、库存扣减、分布式锁、选主——在不需要的地方,选择更便宜的模型。现代分布式架构的智慧不在于"我们要不要线性一致性",而在于"这段路径需不需要线性一致性"。
大多数路径不需要。社交媒体的 feed、商品浏览、文章推荐、播放历史——这些场景里短暂的不一致完全可以接受,而且多半用户都察觉不到。但少数路径是生死攸关的——用户的钱、库存的最后一件、主节点的选举——这些路径要么做到线性一致、要么不做。
哈尔在故事里最后的感悟——"从来没有彻底消灭过它。只是把那段时间变短"——正是现代分布式系统工程的日常。我们不追求绝对的完美一致,我们追求在每个关键路径上,把不一致窗口压缩到实际攻击者或 bug 能利用的门槛以下。
永远会有贼活在时间缝隙里。工程师的工作是让这条缝隙窄到贼钻不进去。