多个无事务外部系统上的原子操作

Question

假设您有一个连接 3 个不同外部系统的应用程序。您需要更新所有3个内容。如果发生故障，您需要回滚操作。 这并不是一件很难实现的事情，但是假设操作3失败了，当回滚时，操作1的回滚失败了！现在第一个外部系统处于无效状态...

我认为可能的解决方案是关闭应用程序并强制手动修复外部系统，但话又说回来...它可能已经使用了此信息（也许这就是它失败的原因），或者我们可能没有足够的访问权限。或者它甚至可能不是回滚操作的好方法！

处理此类案件有一些好的方法吗？

编辑：一些应用程序详细信息..

它是一个多用户网络应用程序。大部分工作是通过计划作业（通过 Quartz.Net）完成的，因此大多数操作都在它自己的线程中运行。不过，某些用户操作应该会触发更新多个系统的作业。外部系统有些不稳定。

我正在考虑更改应用程序以使用命令和工作单元模式

Answer 1

两阶段提交（2PC）可能适合这里。

第一阶段是让各个数据库同意他们愿意继续提交。在您的示例中，数据库 1 不会继续写入，直到确定所有三个数据库都报告事务可行为止。

这与您描述的“乐观”方法的过程相比 - 数据库 1 将假设事务应该执行，直到它了解到其他情况，并被迫回滚。

Answer 2

您想进一步解释一下操作 1 的回滚如何会失败吗？

它想要达到的状态是它之前已经处于的状态，所以它在逻辑上应该是一致的。可能会出现网络故障等暂时性问题，但处理该问题的最佳方法可能是重试，直到问题消失。

如果问题是后续事务同时锁定或更改了数据，那么您将遇到一个更大的问题 - 您的事务不是原子的，回滚它们可能会导致其他事务的输出变得无效。

Answer 3

根据应用程序的大小（单用户与企业），关闭应用程序可能是一个坏主意。

首先，我建议将 3 个外部应用程序中更改的信息的初始状态保存到您自己的应用程序的本地存储中。这意味着您至少可以确定应用程序崩溃/回滚失败等情况下的回滚状态应该是什么。事务成功提交后，您就可以删除该数据。

当其中一项操作失败时该怎么办取决于 3 个外部系统的功能。我们假设其中一个系统保存员工数据。仅仅因为交易失败导致一名员工的地址错误而关闭应用程序就太过分了。每当访问员工的数据时，最好只检查失败的事务日志（即保存 3 个外部应用程序的初始状态的本地存储）。如果该员工数据被标记为无效，则抛出一个错误，指示该记录处于无效状态并且无法检索。

但是，如果整个外部系统将因失败的事务而陷入混乱，那么是的 - 您在这里无能为力，只能关闭您的应用程序，直到问题得到解决。

Answer 4

Oddthinking 的答案是一个很好的答案，但也有其局限性，因为要真正可靠地制作 2PC 非常困难。这在分布式计算社区中已经众所周知很长一段时间了，尽管很多人都尽力忽略它。

如果您有兴趣深入研究该领域，Paxos 共识算法是一个好地方开始。请注意，这是一个令人惊讶的困难问题，正是因为您提到的问题以及实际上不可能构建一个真正可靠的消息传递系统来在有限的时间内传递消息的事实。 （要理解为什么这是真的，请考虑有人拿着反铲< /a> 可能会消除各个通信方之间的所有网络链接...）

我怀疑真正的解决方案是设计整个系统的架构以及如何在整个系统中进行更改，以便一个区域的通信丢失不会造成灾难性的后果。这可能很容易，也可能不容易做到，具体取决于具体的细节。