Jepsen: NATS 2.12.1

• Jepsen đã kiểm chứng độ bền và tính nhất quán của hệ thống nhắn tin phân tán NATS JetStream trong nhiều môi trường sự cố khác nhau
• Kết quả thử nghiệm cho thấy xảy ra mất dữ liệu và hiện tượng split-brain trong các tình huống hỏng file (.blk, snapshot) và mô phỏng sự cố mất điện
• Theo mặc định, JetStream chỉ thực hiện fsync mỗi 2 phút một lần, nên các thông điệp đã được xác nhận gần đây có thể vẫn chưa được ghi xuống đĩa
• Chỉ riêng sự cố crash hệ điều hành trên một nút cũng có thể gây ra mất dữ liệu và sai lệch giữa các bản sao
• Jepsen khuyến nghị NATS đổi cấu hình mặc định sang fsync=always hoặc tài liệu hóa rõ ràng rủi ro mất dữ liệu

1. Bối cảnh

• NATS là một hệ thống streaming phổ biến để publish/subscribe thông điệp dưới dạng stream
  • JetStream dùng thuật toán đồng thuận Raft để sao chép dữ liệu và đảm bảo phân phối ít nhất một lần (at-least-once)
• Trong tài liệu, JetStream tuyên bố có tính nhất quán tuyến tính hóa (Linearizable) và luôn sẵn sàng, nhưng theo định lý CAP thì không thể đồng thời thỏa mãn cả hai điều kiện này
• Theo tài liệu của NATS, stream 3 nút có thể chịu mất 1 máy chủ, còn stream 5 nút có thể chịu mất 2 máy chủ
• Một thông điệp được xem là “đã lưu thành công” vào thời điểm máy chủ acknowledge yêu cầu publish
• Để đảm bảo tính nhất quán dữ liệu cần có đa số (quorum) nút; trong cụm 5 nút thì phải có ít nhất 3 máy hoạt động mới có thể lưu thông điệp mới

2. Thiết kế thử nghiệm

• Jepsen tiến hành thử nghiệm với client JNATS 2.24.0 trong môi trường container Debian 12 LXC
  • Một số thử nghiệm được chạy trong môi trường Antithesis với image Docker NATS chính thức
• Cấu hình một stream JetStream duy nhất (replication 5), rồi tiêm vào các lỗi như dừng tiến trình, crash, phân vùng mạng, mất gói, hỏng file v.v.
• Sử dụng filesystem LazyFS để mô phỏng sự cố mất điện làm mất các lần ghi chưa được fsync
• Mỗi tiến trình publish thông điệp riêng, và sau khi kết thúc thử nghiệm thì kiểm tra sự tồn tại của các thông điệp đã được acknowledged trên mọi nút
• Nếu một thông điệp chỉ tồn tại trên một số nút, trường hợp đó được phân loại là divergence (sai lệch sao chép)

3. Kết quả chính

3.1 Mất toàn bộ dữ liệu trong NATS 2.10.22 (#6888)

• Phát hiện hiện tượng toàn bộ stream JetStream biến mất chỉ với crash tiến trình đơn giản
• Xuất hiện lỗi "No matching streams for subject" và không khôi phục được trong nhiều giờ
• Nguyên nhân là đảo ngược snapshot của leader, xóa trạng thái Raft v.v., và đã được sửa trong phiên bản 2.10.23

3.2 Mất dữ liệu khi file .blk bị hỏng (#7549)

• Khi file .blk của JetStream gặp lỗi một bit hoặc bị cắt ngắn (truncation), có thể làm mất hàng trăm nghìn bản ghi đã được xác nhận
  • Ví dụ: mất 679.153 trên tổng 1.367.069 bản ghi
• Chỉ cần một số nút bị hỏng cũng có thể gây ra mất dữ liệu trên diện rộng và split-brain
  • Ví dụ: tại các nút n1, n3, n5, tỷ lệ mất thông điệp lên tới 78%
• NATS hiện đang điều tra vấn đề này

3.3 Hỏng file snapshot làm xóa toàn bộ dữ liệu (#7556)

• Nếu file snapshot trong data/jetstream/$SYS/_js_/ bị hỏng, nút sẽ coi stream là mồ côi (orphaned) và xóa toàn bộ dữ liệu
• Chỉ cần thiểu số nút bị hỏng cũng có thể khiến cụm không còn đa số và stream vĩnh viễn không khả dụng
• Ví dụ: các nút n3, n5 bị hỏng → n3 được bầu làm leader và xóa toàn bộ jepsen-stream
• Jepsen chỉ ra rủi ro nút bị hỏng trở thành leader trong quá trình bầu chọn leader

3.4 Mất dữ liệu do cấu hình fsync mặc định (#7564)

• Theo mặc định, JetStream chỉ thực hiện fsync mỗi 2 phút, trong khi thông điệp được xác nhận ngay lập tức
  • Kết quả là các thông điệp vừa được xác nhận có thể vẫn chưa được ghi xuống đĩa
• Khi xảy ra mất điện hoặc crash kernel, có thể mất lượng thông điệp đã được xác nhận trong hàng chục giây
  • Ví dụ: mất 131.418 trên tổng 930.005 bản ghi
• Ngay cả chuỗi sự cố trên một nút xảy ra liên tiếp cũng có thể dẫn đến xóa toàn bộ stream
• Tài liệu gần như không đề cập đến hành vi này
• Jepsen khuyến nghị đổi mặc định sang fsync=always hoặc cảnh báo rõ ràng về rủi ro mất dữ liệu

3.5 Split-brain do crash OS trên một nút (#7567)

• Chỉ riêng mất điện hoặc crash kernel trên một nút cũng có thể gây ra mất dữ liệu và sai lệch sao chép
• Trong cấu trúc leader-follower, nếu một số nút đã acknowledge khi dữ liệu mới chỉ commit trong bộ nhớ rồi xảy ra sự cố,
  đa số nút có thể đánh mất bản ghi đó và tiếp tục vận hành với trạng thái mới
• Trong thử nghiệm, chỉ sau một lần mất điện trên một nút đã xuất hiện split-brain kéo dài
  • Ghi nhận việc mất các đoạn thông điệp đã được xác nhận khác nhau trên từng nút
• Jepsen viện dẫn trường hợp tương tự ở Kafka để nhấn mạnh rằng các hệ thống dựa trên Raft cũng có cùng rủi ro

4. Thảo luận và kết luận

• Vấn đề mất toàn bộ dữ liệu trong 2.10.22 đã được khắc phục ở 2.10.23
• Trong 2.12.1, mất dữ liệu và split-brain do hỏng file và crash OS vẫn tiếp tục xảy ra
• Khi file .blk và file snapshot bị hỏng, có thể xảy ra thiếu thông điệp trên một số nút hoặc xóa toàn bộ stream
• Chu kỳ fsync mặc định quá dài làm phát sinh rủi ro mất dữ liệu đã được xác nhận khi nhiều nút đồng thời gặp sự cố
• Jepsen đề xuất dùng fsync=always hoặc đưa vào tài liệu cảnh báo rủi ro rõ ràng
• Tuyên bố JetStream “luôn sẵn sàng” là bất khả thi theo định lý CAP, nên cần sửa tài liệu
• Jepsen lưu ý rằng có thể chứng minh sự tồn tại của bug, nhưng không thể chứng minh sự vắng mặt của vấn đề an toàn

4.1 Vai trò của LazyFS

• Sử dụng LazyFS để mô phỏng việc mất các lần ghi chưa được fsync
• Có thể tái hiện nhiều lỗi lưu trữ khi mất điện, như hỏng ghi từng phần (torn write)
• Nghiên cứu liên quan When Amnesia Strikes (VLDB 2024) cũng báo cáo các bug tương tự ở PostgreSQL, Redis, ZooKeeper v.v.

4.2 Việc cần làm tiếp theo

• Chưa thực hiện kiểm chứng về mất thông điệp ở mức consumer đơn lẻ, thứ tự thông điệp, hay các đảm bảo Linearizable/Serializable
• Đảm bảo phân phối chính xác một lần (exactly-once) cũng là chủ đề cho nghiên cứu trong tương lai
• Phát hiện lỗi trong tài liệu khi thêm/xóa nút và thiếu bước health check bắt buộc (#7545)
• Quy trình thay đổi cấu hình cụm an toàn vẫn chưa rõ ràng