Доказательства правильности классических Paxos и Fast Paxos

Почему мы можем предположить, что свойство CP сохранялось, когда акцептор a0 голосовал за v в раунде k? Кажется, что мы используем математическую индукцию, поэтому, какова основа, индуктивная гипотеза и индуктивные шаги?

Вы смотрите на пример сильной индукции . В простой индукции вы предполагаете, что свойство верно для и доказываете, что оно верно для . В сильной индукции вы предполагаете, что свойство верно для и доказываете, что оно верно для . $n=m$ $n=m+1$ $\forall n: n<m$ $n=m+1$

Основа (я считаю): . То есть нулевой раунд (поскольку раунды начинаются с 1). Это тривиально верно, поэтому, вероятно, это не было указано явно. $j = 0$

Индуктивный шаг : предположим, что ; докажите где . $\forall n, n \le j : CP(v; n)$ $CP(v; j+1)$ $j < i$

Хотите верьте, хотите нет, это всего лишь доказательство . Настоящее доказательство в статье Парламента неполного рабочего дня . (Некоторые считают бумагу загадочной, другие считают ее юмористической.)

Как это получается?

На мой взгляд, доказательство правильности случая опирается (рекурсивно) на доказательства случаев и . $j<k$ $k<j<i$ $j=k$

Следовательно, как мы можем завершить случай не доказав сначала полностью (а именно, пропуская подслучае где содержит более одного значения)? $j<k$ $j=k$ $j=k$ $V$

Это опять-таки сильная индукция, поэтому случай опирается на случаи и , но с помощью гипотезы индукции , а именно из предыдущего раунда Паксоса. $j<k$ $k<j$ $j=k$

Общие советы по доказательствам Лампорта.

Лампорт использует технику иерархических доказательств. Например, структура доказательства на страницах 7-8 выглядит примерно так:

Предположим, что ; докажите C P ( v ; j + 1 ), где j < i .
1. Наблюдение 1
2. Наблюдение 2
3. Наблюдение 3
4. $k = argmax (...)$
5. случай k = 0
6. случай k> 0
  - случай k <j
  - случай k = j
  - случай j <k

Лампорт имеет тенденцию использовать другой тип иерархии. Он докажет более простой алгоритм, а затем докажет, что более сложный алгоритм отображает (или «расширяет» ) более простой алгоритм. Похоже, этого не происходит на странице 18, но на это стоит обратить внимание. (Доказательство на странице 18 представляется модификацией доказательства на страницах 7-8; не является его расширением .)

Lamport сильно зависит от сильной индукции ; он также склонен мыслить в терминах множеств вместо чисел. Таким образом, вы можете получить пустые наборы, где другие будут иметь нули или нули; или установить союзы, где другие будут иметь дополнение.

Для доказательства правильности асинхронных систем передачи сообщений необходимо всестороннее представление системы относительно времени . Например, при рассмотрении действий в раунде имейте в виду, что действия для некоторого раунда возможно, не произошли во времени! , И все же Лампорт утверждает эти потенциально будущие события в прошедшем времени. $i$ $j < i$

Системы и доказательства Лампорта, как правило, имеют переменную или набор переменных, которые допускаются только в одном направлении; только увеличивающиеся числа и только добавляющие к наборам. Это широко используется в его доказательствах. Например, на странице 8 Лэмпорт показывает, как он кастрировал будущую способность дать еще один голос: $a$

... Так как при отправке сообщения было установлено значение для , впоследствии не мог отдать свой голос ни в одном раунде с номером меньше, чем .... $rnd[a]$ $i$ $a$ $i$

Это определенно мозговое средство, чтобы доказать эти виды систем.

(обновление) : перечислить инварианты; Лампорт использует много инвариантов при разработке и свои доказательства. Они иногда разбросаны по всем доказательствам; иногда они присутствуют только в проверенном машиной доказательстве. Причина каждого инварианта; почему это там? Как это взаимодействует с другими инвариантами? Как каждый шаг в системе сохраняет этот инвариант?

Полное раскрытие : я не читал Fast Paxos, пока меня не попросили ответить на этот вопрос; и только посмотрел на цитируемых страницах. Я инженер, а не математик; Моя работа с Лампортом основана исключительно на необходимости правильно изобретать и обслуживать крупномасштабные распределенные системы.

Мой ответ во многом зависит от моего опыта работы Лампорта. Я прочитал несколько протоколов и доказательств Лампорта; Я профессионально поддерживаю систему на основе Paxos; Я написал и испытал протокол согласования с высокой пропускной способностью и снова профессионально поддерживаю систему, основанную на нем (я пытаюсь заставить свою компанию разрешить мне публиковать статью). Я уже сотрудничал в незначительной работе с Лампорт, в котором я встречался с ним трижды (документ еще находится на рассмотрении экспертной оценки.)

Майкл Дирдефф
источник

i

$i$

k = m a x ()

$k=max()$

C P (v, i)

$CP(v,i)$

k < j < i

$k<j<i$

j = k

$j=k$

C P (v, k)

$CP(v,k)$ . Namely,

C P (v, k)

$CP(v,k)$ involves another

k^{'} = m a x ()

$k'=max()$ , cases of

k^{'} < j^{'} < k

$k'<j'< k$ and

j^{'} = k^{'}

$j'=k'$ , and

C P (v, k^{'})

$CP(v,k')$ . This recursion terminates at

k^{n^{'}} = 0

$k^{n'}=0$ . In this way, the recursion is on

k

$k$ s. I have difficulty in translating it into strong induction with time flowing forward.

hengxin

@hengxin When reasoning about my system/proof; I thought about it as time going forward. I would start out with

i = 0

$i=0$ and make sure all the invariants are met; I would then go with

i = 1

$i=1$ and make sure all the invariants are met; and so on. That reminds me to add some more Lamport pointers.

Michael Deardeuff

For Fast Paxos (

P_{18}

$P_{18}$ ), is the inductive hypothesis that "

\forall v \in V, C P (v, i)

$\forall v \in V, CP(v,i)$ " (see the

j < k

$j < k$ case in

P_{18}

$P_{18}$ )? However, at the bottom of

P_{17}

$P_{17}$ , it says We must find a value $v$ in $V$ that satisfies $CP(v,i)$ . So, is that inductive hypothesis too strong?

hengxin

Finally, I came to realize what the invariant is and how the strong induction works. Thanks again. BTW, you mentioned that

Lamport tends to use another type of hierarchy. He'll prove a simpler algorithm, and then prove that a more complex algorithm maps onto (or "extends") the simpler algorithm

, therefore, could you please show an example or cite a related paper? In addition, do your papers have pre-printed, (commercially) unclassified editions?

hengxin

Lamport explains the first type of hierarchy in his paper How to write a proof and gives an example of the second in Byzantizing Paxos by refinement. The second type of hierarchy is typically called a refinement, or a mapping.

Michael Deardeuff

Доказательства правильности классических Paxos и Fast Paxos

Ответы: