Prove di correttezza dei classici Paxos e Fast Paxos

Sto leggendo il documento "Fast Paxos" di Leslie Lamport e rimango bloccato con le prove di correttezza di entrambi i classici Paxos e Fast Paxos.

Per coerenza, il valore scelto dal coordinatore in fase al turno dovrebbe soddisfare $v$ $2a$ $i$

$CP(v,i):$ per ogni round , nessun valore diverso da è stato o potrebbe essere ancora scelto nel round . $j < i$ $v$ $j$

Per i Paxos classici , la prova (Pagina 8) è divisa in tre casi: , , e , dove è il numero tondo più grande in cui alcuni accettori hanno riferito al coordinatore per fase Messaggio. Non ho capito l'argomento per il terzo caso: $k < j < i$ $j = k$ $j < k$ $k$ $1b$

Caso . Possiamo supporre per induzione che la proprietà mantenuta quando l'accettore votato per nel round . Ciò implica che nessun valore diverso da è stato o potrebbe essere ancora scelto nel round . $j < k$ $CP$ $a_0$ $v$ $k$ $v$ $j$

La mia domanda è:

Perché possiamo supporre che la proprietà mantenuta quando accettore votato per nel round ? $CP$ $a_0$ $v$ $k$

Sembra che stiamo usando l'induzione matematica, quindi quali sono le basi, l'ipotesi induttiva e i passaggi induttivi?

Per Fast Paxos , lo stesso argomento (Pagina 18) continua. Dice,

Caso . Per qualsiasi in , nessun valore diverso da è stato o potrebbe essere ancora scelto nel round . $j < k$ $v$ $V$ $v$ $j$

La mia domanda è:

Come si ottiene questo? In particolare, perché qui "Per qualsiasi in "? $v$ $V$

Secondo me, la prova di correttezza del caso si basa (ricorsivamente) su quelli dei casi di e . $j < k$ $k < j < i$ $j = k$

Pertanto, come possiamo concludere il caso senza prima provare completamente (ovvero, mancando la sottocassa di dove contiene più di un valore)? $j < k$ $j = k$ $j = k$ $V$

ds.algorithms dc.distributed-comp proofs

— Hengxin
fonte

Perché possiamo supporre che il CP di proprietà sia detenuto quando l'accettore a0 ha votato per v nel round k? Sembra che stiamo usando l'induzione matematica, quindi quali sono le basi, l'ipotesi induttiva e i passaggi induttivi?

Stai guardando un esempio di forte induzione . Nella semplice induzione si assume che la proprietà valga per e si dimostra che valga per . In forte induzione si assume che la proprietà valga per e si dimostra che valga per . $n=m$ $n=m+1$ $\forall n: n<m$ $n=m+1$

Base (credo): . Cioè, il round null (poiché i round iniziano da 1). Questo è banalmente vero, motivo per cui non è stato dichiarato esplicitamente. $j = 0$

Fase induttiva : supponiamo ; dimostrare dove . $\forall n, n \le j : CP(v; n)$ $CP(v; j+1)$ $j < i$

Che ci crediate o no, questo è solo uno schizzo di prova . La vera prova è nel documento del Parlamento a tempo parziale. (Alcuni considerano la carta criptica, altri la considerano divertente.)

Come si ottiene questo?

Secondo me, la prova di correttezza del caso si basa (ricorsivamente) su quelli dei casi di e . $j<k$ $k<j<i$ $j=k$

Pertanto, come possiamo concludere il caso senza prima provare completamente (ovvero, mancando la sottocassa di dove contiene più di un valore)? $j<k$ $j=k$ $j=k$ $V$

Questa è di nuovo una forte induzione, quindi il caso si basa sui casi di e , ma attraverso l'ipotesi di induzione , vale a dire dal precedente round di Paxos. $j<k$ $k<j$ $j=k$

Suggerimenti generali per le prove di Lamport.

Lamport utilizza una tecnica di prove gerarchiche. Ad esempio, la struttura della prova alle pagine 7-8 è in qualche modo simile a questa:

Supponiamo ; dimostrare C P ( v ; j + 1 ) dove j < i .
1. Osservazione 1
2. Osservazione 2
3. Osservazione 3
4. $k = argmax (...)$
5. caso k = 0
6. caso k> 0
  - caso k <j
  - caso k = j
  - caso j <k

Lamport tende a usare un altro tipo di gerarchia. Dimostrerà un algoritmo più semplice, e quindi dimostrerà che un algoritmo più complesso mappa (o "estende" ) l'algoritmo più semplice. Questo non sembra accadere a pagina 18, ma è qualcosa da cercare. (La prova a pagina 18 sembra essere una modifica della prova a pagine 7-8; non una sua estensione .)

Lamport si basa fortemente su una forte induzione ; tende anche a pensare in termini di set anziché di numeri. Quindi potresti ottenere set vuoti in cui gli altri avrebbero zeri o null; o impostare sindacati in cui altri avrebbero avuto un'aggiunta.

La dimostrazione della correttezza dei sistemi di trasmissione di messaggi asincroni richiede una visione onnisciente del sistema rispetto al tempo . Ad esempio, quando si considerano le azioni nel round , tenere presente che le azioni per alcuni round potrebbero non essere avvenute nel tempo! . Eppure Lamport afferma questi eventi potenzialmente futuri al passato. $i$ $j < i$

I sistemi e le prove di Lamports tendono ad avere una variabile o un insieme di variabili che possono andare solo in una direzione; incrementando solo i numeri e aggiungendo solo ai set. Questo è ampiamente utilizzato nelle sue prove. Ad esempio, a pagina 8 Lamport mostra come ha castrato la futura capacità di di esprimere un altro voto: $a$

... Poiché ha impostato su al momento dell'invio di un messaggio, non avrebbe potuto successivamente votare in alcun turno numerato meno di .... $rnd[a]$ $i$ $a$ $i$

È sicuramente un allungamento del cervello per dimostrare questo tipo di sistemi.

(aggiornamento) : elenca gli invarianti; Lamport usa molti invarianti durante lo sviluppo e le sue prove. A volte sono sparsi in tutte le prove; a volte sono presenti solo nella prova controllata dalla macchina. Motivo di ogni invariante; perché è lì? Come interagisce con gli altri invarianti? In che modo ogni passaggio nel sistema mantiene questo invariante?

Informativa completa : non avevo letto Fast Paxos fino a quando non mi è stato chiesto di rispondere a questa domanda; e guardava solo le pagine citate. Sono un ingegnere e non un matematico; il mio pennello con il lavoro di Lamport si basa esclusivamente sulla necessità di inventare e mantenere correttamente i sistemi distribuiti su larga scala.

La mia risposta si basa fortemente sulla mia esperienza con il lavoro di Lamport. Ho letto diversi protocolli e prove di Lamport; Mantengo professionalmente un sistema basato su paxos; Ho scritto e dimostrato un protocollo di consenso ad alto rendimento, e ancora una volta mantengo professionalmente un sistema basato su di esso (sto cercando di convincere la mia azienda a consentirmi di pubblicare un documento). Io ho collaborato a un documento insignificante Lamport, nel quale mi sono incontrato con lui tre volte (la carta è ancora in attesa di revisione tra pari.)

— Michael Deardeuff
fonte

Grazie per il tuo tempo, le risposte e gli eccellenti commenti sulle prove di Lamport! Per Paxos: ora, posso cogliere l'idea di base della prova di Lamport. Tuttavia, il flusso di tempo nella mia mente torna indietro : siamo al round

e abbiamo

. Per dimostrare

, esaminiamo i casi di

, e ricorsivamente dimostrare

i

$i$

k = m a x ()

$k=max()$

C P (v, i)

$CP(v,i)$

k < j < i

$k<j<i$

j = k

$j=k$

C P (v, k)

$CP(v,k)$ . Vale a dire,

coinvolge un altro

, casi di

. Questa ricorsione termina con

. In questo modo, la ricorsione è su

C P (v, k)

$CP(v,k)$

k^{'} = m a x ()

$k'=max()$

k^{'} < j^{'} < k

$k'<j'< k$

j^{'} = k^{'}

$j'=k'$

C P (v, k^{'})

$CP(v,k')$

k^{n^{'}} = 0

$k^{n'}=0$

k

$k$ S. Ho difficoltà a tradurlo in una forte induzione con il tempo che scorre in avanti .

— hengxin,

@hengxin Quando si ragiona sul mio sistema / prova; Ci ho pensato con il passare del tempo. Vorrei iniziare con

e assicurarmi che tutti gli invarianti siano soddisfatti; Vorrei quindi andare con

e assicurarmi che tutti gli invarianti siano soddisfatti; e così via. Questo mi ricorda di aggiungere altri puntatori Lamport.

i = 0

$i=0$

i = 1

$i=1$

— Michael Deardeuff,

Per Fast Paxos (

), è l'ipotesi induttiva che "

" (vedi il caso

)? Tuttavia, in fondo a

, dice che dobbiamo trovare un valore in che soddisfi . Quindi, questa ipotesi induttiva è troppo forte?

P_{18}

$P_{18}$

\forall v \in V, C P (v, i)

$\forall v \in V, CP(v,i)$

j < k

$j < k$

P_{18}

$P_{18}$

P_{17}

$P_{17}$ $v$ $V$ $CP(v,i)$

— hengxin,

Alla fine, ho capito che cos'è l'invariante e come funziona la forte induzione. Grazie ancora. A proposito, hai detto che

Lamport tends to use another type of hierarchy. He'll prove a simpler algorithm, and then prove that a more complex algorithm maps onto (or "extends") the simpler algorithm

, quindi, potresti mostrare un esempio o citare un documento correlato? Inoltre, i tuoi articoli hanno edizioni prestampate (commercialmente) non classificate?

— hengxin,

Lamport spiega il primo tipo di gerarchia nel suo articolo Come scrivere una prova e dà un esempio del secondo in Bizantizzare Paxos per raffinatezza . Il secondo tipo di gerarchia è in genere chiamato un perfezionamento o una mappatura .

— Michael Deardeuff,