跨REST微服务的事务？

不合理的事情：

• 使用REST服务进行分布式事务。按照定义，REST服务是无状态的，因此它们不应该成为跨越多个服务的事务边界中的参与者。您的用户注册用例场景是有意义的，但是使用REST微服务创建用户和钱包数据的设计不好。

会让你头疼的事情：

• 分布式事务中的EJBs。这是理论上可行但实际上不可行的事情之一。现在我正在尝试使跨JBoss EAP 6.3实例的远程EJB的分布式事务正常工作。我们已经与RedHat支持团队交谈了几周，但还没有解决。
• 一般的两阶段提交解决方案。我认为2PC协议是一个很棒的算法（多年前我用RPC在C语言中实现过它）。它需要全面的故障恢复机制，包括重试、状态存储库等。所有的复杂性都隐藏在事务框架中（例如：JBoss Arjuna）。然而，2PC并非完全可靠。有些情况下事务根本无法完成。那么你就需要手动识别和修复数据库不一致性。如果你很幸运，这可能发生一百万次中的一次，但根据你的平台和场景，这可能每100个事务中就会发生一次。
• Sagas（补偿事务）。创建补偿操作的实现开销和激活补偿的协调机制都存在。但是补偿也并非完全可靠。你仍然可能会遇到不一致性（=一些头痛）。

可能最好的替代方案是什么：

• 最终一致性。ACID样式的分布式事务和补偿事务都不是完美的，两者都可能导致不一致性。最终一致性通常比“偶发不一致性”更好。有不同的设计解决方案，例如：
  • 您可以使用异步通信创建更强大的解决方案。在您的场景中，当Bob注册时，API网关可以向NewUser队列发送消息，并立即回复用户说“您将收到一封电子邮件确认帐户创建。”队列消费者服务可以处理消息，在单个事务中执行数据库更改，并向Bob发送电子邮件以通知帐户创建。
  • 用户微服务在同一数据库中创建用户记录和钱包记录。在这种情况下，用户微服务中的钱包存储是主钱包存储的副本，仅对钱包微服务可见。有一个触发器或定期启动的数据同步机制，用于从副本向主服务器发送数据更改（例如，新钱包），反之亦然。

但如果您需要同步响应呢？

• 重构微服务。如果使用队列的解决方案不起作用，因为服务消费者需要立即得到响应，那么我宁愿将用户和钱包功能重构为同一服务（或至少在同一虚拟机中，以避免分布式事务）。是的，这距离微服务更远，更接近单体应用，但可以为您节省一些麻烦。

最近我在一次面试中被问到了一个经典问题：如何调用多个 Web 服务并仍然保留某种错误处理。现今，我们在高性能计算中避免使用两阶段提交。很多年前我读过一篇关于事务的“星巴克模型”的论文：想象一下在星巴克点咖啡的整个过程，包括下单、支付、制作和领取你所点的咖啡……虽然这里对问题进行了简化，但是采用两阶段提交模型会导致所有员工都需要等待并停止工作，直到你拿到咖啡。你明白这个情景吗？

相反，“星巴克模型”更加高效，采用了“尽力而为”模式并在过程中对错误进行补偿。首先，他们确保你已经付款！然后，有一个带有你订单信息的消息队列附着在杯子上。如果在过程中出现任何问题，比如你没有拿到咖啡，或者咖啡不是你点的等等，我们就进入补偿流程并确保你得到你想要的东西或者退款。这是提高生产率最有效的模型。

有时候星巴克浪费一杯咖啡，但整个过程是高效的。在构建 Web 服务时，还有其他技巧需要考虑，比如设计它们的方式让其可以被调用任意次数并仍然提供相同的最终结果。因此，我的建议是：

• 不要对定义 Web 服务过于苛刻（我对当今流行的微服务兴起并不完全信服：存在太多扩展风险）；

• 异步操作可以提高性能，所以尽可能采用异步方式，并通过电子邮件发送通知；

• 构建更智能的服务，使其可“可召回”地处理任意次数，使用 uid 或 taskid 处理订单底层至顶部，每一步都验证业务规则；

• 使用消息队列（JMS 或其他）并转向错误处理器，通过执行相反操作来实现“回滚”操作。与此同时，处理具有异步订单将需要某种队列来验证进程的当前状态，因此需要考虑这一点；

• 如果一切都失败了（因为这种情况可能不经常发生），将其放入手动处理错误的队列中。

让我们回到最初发布的问题。创建账户和钱包，确保一切都完成。

假设调用一个 Web 服务来编排整个操作。

Web 服务的伪代码如下：

1. 调用账户创建微服务，传递一些信息和一个独特的任务 ID 1.1。账户创建微服务首先检查是否已经创建了该账户。任务 ID 关联着账户记录。微服务检测到该账户不存在，因此创建它并存储任务 ID。注意：可以调用此服务 2000 次，它总是执行相同的结果。该服务用“收据”回答，其中包含执行撤消操作所需的最少信息。

2. 调用钱包创建，给出账户 ID 和任务 ID。假设某个条件无效，无法执行钱包创建。调用返回一个错误，但未创建任何内容。

3. 编排程序被通知有错误发生。它知道需要终止账户创建，但不会自己执行。它将通过传递在步骤 1 结束时收到的“最小撤消收据”来请求钱包服务执行此操作。

4. 账户服务读取撤消收据并知道如何撤消操作。撤消收据甚至可以包含有关它自己调用的另一个微服务执行工作的信息。在这种情况下，撤消收据可能包含账户 ID 和执行相反操作所需的其他一些额外信息。在我们的情况下，为简化事情，让我们仅仅是使用账户 ID 删除账户。

现在，假设Web服务没有接收到账户创建撤销已经执行成功或失败的通知。它将简单地再次调用账户的撤销服务。该服务通常不会失败，因为其目标是使账户不再存在。因此，它检查账户是否存在，并发现无法撤销任何操作。所以它返回操作成功。

Web服务向用户返回帐户无法创建的消息。

这是一个同步的示例。我们可以以不同的方式管理它，并将情况放入针对帮助台的消息队列中，如果我们不希望系统完全恢复错误的话。我曾经在一家公司看到过这样的情况，因为后端系统提供的钩子不够多，无法纠正各种情况。帮助台接收包含成功执行的信息的消息，并具有足够的信息来像完全自动化的撤销收据一样修复事情。

我已经进行了搜索，微软的网站上有关于这种方法的模式描述。它被称为补偿性事务模式: Compensating transaction pattern

所有分布式系统都会面临事务一致性的问题。最好的方法就像你说的那样，使用两阶段提交。将钱包和用户创建为待定状态。在创建后，再单独调用激活用户的功能。

这个最后的调用应该是可以安全重复的（以防连接中断）。

这将需要最后一个调用同时了解到两个数据表（以便可以在单个JDBC事务中完成）。

或者，您可能想考虑为什么如此担心没有钱包的用户。您认为这会导致问题吗？如果是这样，也许将它们作为单独的REST调用是一个不好的想法。如果用户没有钱包就不能存在，那么您应该在创建用户的原始POST调用中添加钱包。

我的看法是，微服务架构的一个关键方面是事务仅限于单个微服务（单一职责原则）。

在当前示例中，用户创建将成为自己的事务。用户创建将向事件队列推送一个USER_CREATED事件。钱包服务将订阅USER_CREATED事件并进行钱包创建。

如果我的钱包只是与用户在同一个SQL数据库中的另一组记录，那么我可能会将用户和钱包创建代码放在同一个服务中，并使用正常的数据库事务设施处理它。
听起来你在问当钱包创建代码需要触及另一个系统或系统时会发生什么？我认为这完全取决于创建过程的复杂性和/或风险。
如果只是涉及到接触另一个可靠数据存储（例如无法参与您的SQL事务的数据存储），那么根据整个系统参数，我可能愿意冒险第二次写入的微小几率。我可能什么也不做，但会引发异常并通过补偿事务或甚至一些特别的方法处理不一致的数据。正如我总是告诉我的开发人员：“如果应用中出现了这种情况，它不会被忽视”。
随着钱包创建的复杂性和风险的增加，您必须采取措施来减轻所涉及的风险。比如说有些步骤需要调用多个合作伙伴API。
此时，您可能会引入消息队列以及部分构建的用户和/或钱包的概念。
确保您的实体最终正确构建的一个简单而有效的策略是重试作业，直到它们成功，但很多取决于您的应用程序使用案例。
我还会仔细思考为什么在我的配置过程中有一个容易失败的步骤。

一个简单的解决方案是使用用户服务创建用户，并使用消息总线，其中用户服务会发出其事件，钱包服务在消息总线上注册，监听用户创建事件并为用户创建钱包。同时，如果用户进入钱包界面查看他的钱包，则检查用户是否刚刚创建，并显示您的钱包创建正在进行中，请稍后再查看。

有哪些解决方案可用于防止此类数据不一致性发生？
传统上，使用分布式事务管理器。几年前，在Java EE世界中，您可能会将这些服务创建为EJB，这些服务部署在不同的节点上，您的API网关将对这些EJB进行远程调用。应用服务器（如果正确配置）使用两阶段提交自动确保在每个节点上提交或回滚事务，以便保证一致性。但这要求所有服务都部署在相同类型的应用服务器上（以便它们兼容），实际上只能与单个公司部署的服务一起使用。
是否有模式允许跨多个REST请求处理事务？
对于SOAP（好吧，不是REST），有WS-AT规范，但我曾经需要集成的服务都没有支持它。对于REST，JBoss有一些正在进行中的工作。否则，“模式”就是要么找到一个可以插入到您的架构中的产品，要么构建自己的解决方案（不建议）。
我为Java EE发布了这样的产品：https://github.com/maxant/genericconnector 根据您引用的论文，还有尝试-取消/确认模式和Atomikos的相关产品。
BPEL引擎使用补偿处理在远程部署服务之间的一致性。

另外，我知道REST可能并不适用于此用例。也许处理这种情况的正确方法是完全放弃REST，并使用像消息队列系统这样的不同通信协议？

有许多将非事务资源“绑定”到事务中的方法：

• 正如您建议的那样，您可以使用事务消息队列，但它将是异步的，因此如果您依赖于响应，它会变得混乱。
• 您可以将需要调用后端服务的事实写入数据库，然后使用批处理调用后端服务。同样，异步，所以可能会变得混乱。
• 您可以使用业务流程引擎作为API网关来编排后端微服务。
• 您可以使用远程EJB，如开头所提到的，因为它支持分布式事务。

或者我应该在我的应用程序代码中强制执行一致性（例如，通过具有检测不一致性并修复它们的后台作业或通过在我的User模型上具有“creating”，“created”值等的“state”属性）？

反对者说：为什么要构建这样的东西，当有产品可以为您完成这项工作（请参见上文），而且很可能做得比您好，因为它们经过了尝试和测试？

在微服务世界中，服务之间的通信应该通过 REST 客户端或消息队列来完成。根据服务之间的通信方式，处理跨服务的事务有两种方法。个人而言，我更喜欢使用消息驱动架构，以便用户可以执行非阻塞操作。让我们用一个例子来说明：

1. 创建一个名为BOB的用户，并将事件CREATE USER推送到消息总线。
2. 订阅此事件的钱包服务可以创建与用户对应的钱包。

需要注意的一件事是选择一个强大可靠的消息骨干，以便在失败时可以保留状态。您可以使用 Kafka 或 RabbitMQ 作为消息骨干。由于最终一致性，执行会有延迟，但这可以通过套接字通知轻松更新。通知服务/任务管理器框架可以是通过异步机制（如套接字）更新事务状态并帮助 UI 显示正确进度的服务。

个人而言，我喜欢微服务的理念，即根据使用情况定义模块，但正如你的问题所提到的，它们在银行、保险、电信等传统企业中存在适应性问题。

分布式事务不是一个好选择，许多人现在更倾向于最终一致性系统，但我不确定这对银行、保险等行业是否可行。

我写了一篇关于我的解决方案的博客，也许这可以帮助你……

https://mehmetsalgar.wordpress.com/2016/11/05/micro-services-fan-out-transaction-problems-and-solutions-with-spring-bootjboss-and-netflix-eureka/

最终一致性是关键。

• 选择其中一个服务成为事件的主要处理程序。
• 该服务将使用单个提交处理原始事件。
• 主要处理程序将负责异步地将次要影响通知其他服务。
• 主要处理程序将进行其他服务调用的编排。

指挥官负责分布式事务并掌控全局。它知道要执行的指令并协调执行它们。在大多数情况下，只有两个指令，但它可以处理多个指令。

指挥官负责保证执行所有指令，这意味着重试。当指挥官尝试影响远程更新并且没有得到响应时，它没有重试。这样，系统可以配置为不太容易出现故障并自我修复。

由于我们有重试，因此我们具有幂等性。幂等性是能够以某种方式执行两次操作，使得最终结果与仅执行一次相同的属性。我们需要在远程服务或数据源处具有幂等性，以便在接收到指令超过一次的情况下，它仅处理一次。

最终一致性 这解决了大多数分布式事务的挑战，但我们需要考虑几个要点。 每次失败的事务都将跟随一个重试，尝试重试的次数取决于上下文。

一致性是最终的，即在重试期间系统处于不一致状态，例如如果客户订购了一本书并进行了付款，然后更新库存数量。如果库存更新操作失败，并且假设这是最后一本库存，则该书仍将可用，直到库存更新操作成功为止。重试成功后，您的系统将保持一致。