Eric Brewers CAP-tänkande: varför distribuerade system gör avvägningar

Varför CAP blev den föredragna tankemodellen

När du lagrar samma data på mer än en maskin får du snabbhet och feltolerans—men du får också ett nytt problem: oense. Två servrar kan ta emot olika uppdateringar, meddelanden kan komma för sent eller inte alls, och användare kan läsa olika svar beroende på vilken replik de träffar. CAP blev populärt eftersom det ger ingenjörer ett enkelt sätt att prata om den röriga verkligheten utan att vifta bort detaljer.

Eric Brewer, datavetare och medgrundare av Inktomi, introducerade kärnidéen år 2000 som ett praktiskt uttalande om replikerade system under fel. Det spreds snabbt eftersom det matchade vad team redan upplevde i produktion: distribuerade system går inte bara ner genom att stanna; de misslyckas genom att splittras.

CAP är en felslins, inte en checklista över funktioner

CAP är mest användbart när saker går fel—särskilt när nätverket inte beter sig. På en frisk dag kan många system se både tillräckligt konsistenta och tillgängliga ut. Stressprovet är när maskiner inte kan kommunicera tillförlitligt och du måste bestämma vad du gör med läsningar och skrivningar medan systemet är delat.

Denna inramning är anledningen till att CAP blev en go-to tankemodell: den argumenterar inte för bästa praxis; den tvingar fram en konkret fråga—vad kommer vi att offra under en split?

Vad du ska kunna bestämma efteråt

I slutet av den här artikeln bör du kunna:

• Känna igen när du står inför ett sant CAP-scenario (replikering + möjliga kommunikationsavbrott).
• Välja, medvetet, om ditt system ska favorisera konsistens (alla ser samma sanning) eller tillgänglighet (systemet fortsätter svara) när repliker inte kan enas.
• Koppla det valet till produktpåverkan: vad användare upplever, vilka fel du visar och vilka åtgärder som krävs efter att spliten läkt.

CAP består eftersom det omvandlar vagt "distribuerat är svårt"-prat till ett beslut du kan fatta—och försvara.

Uppställningen: replikering och problemet med oenighet

Ett distribuerat system är, enkelt uttryckt, många datorer som försöker agera som en. Du kan ha flera servrar i olika rack, regioner eller molnzoner, men för användaren är det "appen" eller "databasen".

Varför vi replikerar data

För att få det delade systemet att fungera i verklig skala replikerar vi oftast: vi behåller flera kopior av samma data på olika maskiner.

Replikering är populärt av tre praktiska skäl:

• Skalning: fler maskiner kan hantera mer trafik.
• Prestanda: användare kan servas av en närliggande kopia, vilket minskar latens.
• Tillförlitlighet: om en maskin dör kan en annan kopia hålla tjänsten igång.

Hittills låter replikering som en självklar fördel. Fällan är att replikering skapar ett nytt jobb: att hålla alla kopior i överensstämmelse.

Den centrala spänningen: kopior kan vara oense

Om varje replik alltid kunde prata med varje annan replik omedelbart, skulle de kunna koordinera uppdateringar och hålla sig synkade. Men verkliga nätverk är inte perfekta. Meddelanden kan fördröjas, tappas eller routas kring fel.

När kommunikationen är frisk kan repliker vanligtvis utbyta uppdateringar och konvergera mot samma tillstånd. Men när kommunikationen bryts (även tillfälligt) kan du hamna med två giltigt utseende-versioner av ”sanningen.”

Till exempel: en användare ändrar sin leveransadress. Replik A får uppdateringen, replik B gör det inte. Nu måste systemet svara på en till synes enkel fråga: vad är den aktuella adressen?

Normal drift vs. fel-drift

Detta är skillnaden mellan:

• Normal drift: repliker kan koordinera; oenighet är mest en tidsfråga.
• Fel-drift: vissa repliker kan inte kommunicera; oenighet blir oundviklig.

CAP-tänkandet börjar precis här: när replikering finns, är oenighet under kommunikationsfel inte ett undantag—det är det centrala designproblemet.

CAP på enkelt språk: C, A och P

CAP är en tankemodell för vad användare faktiskt känner när ett system är utspritt över flera maskiner (ofta i flera platser). Det beskriver inte "bra" eller "dåliga" system—bara spänningen du måste hantera.

Konsistens (C): ser jag senaste skrivningen?

Konsistens handlar om överenskommelse. Om du uppdaterar något, kommer nästa läsning (var som helst) att återspegla den uppdateringen?

Ur användarens perspektiv är det skillnaden mellan "jag ändrade det precis, och alla ser samma nya värde" och "vissa ser fortfarande det gamla värdet ett tag."

Tillgänglighet (A): får jag alls ett svar?

Tillgänglighet betyder att systemet svarar på förfrågningar—läsningar och skrivningar—med ett framgångsresultat. Inte "så snabbt som möjligt", men "det vägrar inte att betjäna dig."

Under problem (en server nere, ett nätverksstörning) fortsätter ett tillgängligt system att ta emot förfrågningar, även om det måste svara med data som kan vara något föråldrad.

Partitions-tolerans (P): vad händer när noder inte kan prata?

En partition är när nätverket splittras: maskinerna körs, men meddelanden mellan några av dem når inte fram (eller anländer för sent för att vara användbara). I distribuerade system kan du inte behandla detta som om det är omöjligt—du måste definiera beteende när det händer.

En enkel historia: två butiker, ett lager

Föreställ dig två butiker som båda säljer samma produkt och delar "1 i lager." En kund köper den sista varan i Butik A, så Butik A skriver lager = 0. Samtidigt förhindrar en nätverkspartition att Butik B får reda på det.

Om Butik B förblir tillgänglig kan den sälja en vara den inte längre har (acceptera försäljningen under partitionen). Om Butik B istället upprätthåller konsistens kan den neka försäljningen tills den kan bekräfta det senaste lagret (avvisa service under spliten).

Vad partitioner egentligen är (och varför du inte kan ignorera dem)

En "partition" är inte bara "internet är nere." Det är varje situation där delar av ditt system inte kan prata tillförlitligt med varandra—även om varje del fortfarande kan köras fint.

I ett replikerat system utbyter noder konstant meddelanden: skrivningar, bekräftelser, heartbeat, leader-val, läsförfrågningar. En partition är vad som händer när dessa meddelanden slutar anlända (eller anländer för sent), vilket skapar oenighet om verkligheten: "Hände skrivningen?" "Vem är ledaren?" "Är nod B uppe?"

Partitioner är kommunikationsfel

Kommunikation kan misslyckas på röriga, partiella sätt:

• Paketförlust som triggar omförsök och timeouter
• Routingproblem där trafiken tar en lång omväg eller svart-holar
• Överbelastade länkar (eller saturerade NICs) som orsakar långa förseningar
• Felkonfigurerade brandväggar / säkerhetsgrupper som blockerar bara vissa portar eller riktningar
• DNS- eller service discovery-haverier som hindrar noder från att hitta varandra

Viktig poäng: partitioner är ofta nedsättning, inte en ren av/på-incident. Ur applikationens synvinkel kan "tillräckligt långsamt" vara omöjligt att skilja från "nere."

Varför partitioner är oundvikliga i skala

När du lägger till fler maskiner, fler nätverk, fler regioner och fler rörliga delar finns det helt enkelt fler möjligheter för kommunikation att bryta tillfälligt. Även om enskilda komponenter är pålitliga upplever det övergripande systemet fel eftersom det har fler beroenden och mer korsnodskoordination.

Du behöver inte anta någon exakt felhastighet för att acceptera verkligheten: om ditt system körs tillräckligt länge och spänner över tillräckligt mycket infrastruktur, kommer partitioner att hända.

Vad “tolerera partitioner” betyder i praktiken

Partitionstolerans betyder att ditt system är designat för att fortsätta fungera under en split—även när noder inte kan enas eller inte kan bekräfta vad andra sidan sett. Det tvingar fram ett val: antingen fortsätt serva förfrågningar (riskera inkonsistens) eller stoppa/avvisa vissa förfrågningar (bevara konsistens).

Nyckelögonblicket: välja konsistens eller tillgänglighet under en split

När du har replikering är en partition helt enkelt ett kommunikationsbrott: två delar av ditt system kan inte pålitligt prata med varandra under en tid. Repliker körs fortfarande, användare klickar fortfarande, och din tjänst tar emot förfrågningar—men replikerna kan inte enas om den senaste sanningen.

Det är CAP-spänningen i en mening: under en partition måste du välja att prioritera Konsistens (C) eller Tillgänglighet (A). Du får inte båda samtidigt.

Om du väljer Konsistens (C)

Du säger: "Jag vill hellre vara korrekt än responsiv." När systemet inte kan bekräfta att en förfrågan håller alla repliker i synk måste den misslyckas eller vänta.

Praktisk effekt: vissa användare ser fel, timeouter eller "försök igen"-meddelanden—särskilt för operationer som ändrar data. Detta är vanligt när du hellre avvisar en betalning än riskerar att debitera två gånger, eller blockerar en platsbokning än att sälja för mycket.

Om du väljer Tillgänglighet (A)

Du säger: "Jag vill hellre svara än blockera." Varje sida av partitionen fortsätter acceptera förfrågningar, även om den inte kan koordinera.

Praktisk effekt: användare får framgångsresultat, men datan de läser kan vara föråldrad, och samtidiga uppdateringar kan konfliktera. Du förlitar dig då på rekonsiliering senare (merge-regler, last-write-wins, manuell granskning, osv.).

Valet kan variera per operation

Det här är inte alltid en enda global inställning. Många produkter blandar strategier:

• Läsningar vs skrivningar: håll läsningar tillgängliga men gör skrivningar striktare.
• Kritiska vs icke-kritiska åtgärder: upprätthåll konsistens för pengar, identitet och lager; tillåt tillgänglighet för flöden, analys, "gilla" eller cacheade profiler.

Nyckelögonblicket är att besluta—per operation—vad som är värst: att blockera en användare nu, eller att fixa konflikter senare.

Vanliga missuppfattningar: bortom sloganet "välj två"

Sloganet "välj två" är minnesvärt, men det vilseleder ofta människor att tro att CAP är en meny med tre funktioner där du bara får behålla två för alltid. CAP handlar om vad som händer när nätverket slutar samarbeta: under en partition (eller något som ser ut som en) måste ett distribuerat system välja mellan att returnera konsistenta svar och att vara tillgängligt för varje förfrågan.

Missuppfattning 1: "Jag väljer C och A och undviker partitioner"

I verkliga distribuerade system är partitioner inget du kan stänga av. Om ditt system spänner över maskiner, rack, zoner eller regioner kan meddelanden fördröjas, tappas, omordnas eller routas konstigt. Det är en partition ur mjukvarans perspektiv: noder kan inte pålitligt enas om vad som händer.

Även om det fysiska nätet är fint skapar fel på andra håll samma effekt—överbelastade noder, GC-pauser, bullriga grannar, DNS-haverier, bristfälliga load balancers. Resultatet är detsamma: vissa delar av systemet kan inte prata tillräckligt väl med andra.

Missuppfattning 2: "Partitioner är sällsynta kantfall"

Applikationer upplever inte "partition" som en prydlig, binär händelse. De upplever latenspikar och timeouter. Om en förfrågan timeoutar efter 200 ms spelar det ingen roll om paketet anlände efter 201 ms eller aldrig anlände: appen måste bestämma vad den gör härnäst. Ur appens synvinkel är långsam kommunikation ofta omöjlig att skilja från brutet.

Missuppfattning 3: "System är antingen CP eller AP"

Många verkliga system är mestadels konsistenta eller mestadels tillgängliga, beroende på konfiguration och driftsförhållanden. Timeouter, retry-policyer, kvorumstorlekar och "read your writes"-alternativ kan skifta beteendet.

Under normala förhållanden kan en databas se starkt konsistent ut; under stress eller cross-region-problem kan den börja avvisa förfrågningar (favorisera konsistens) eller returnera äldre data (favorisera tillgänglighet).

CAP handlar mindre om att märka produkter och mer om att förstå den avvägning du gör när oenighet uppstår—särskilt när oenigheten orsakas av vanlig långsamhet.

Konsistensalternativ du faktiskt kan välja

CAP-diskussioner får ofta konsistens att låta binärt: antingen "perfekt" eller "allt går". Verkliga system erbjuder en meny av garantier, var och en med en annan användarupplevelse när repliker inte är överens eller när en nätverkslänk bryts.

Stark konsistens (och dess pris under fel)

Stark konsistens (ofta "linearizable") betyder att när en skrivning är bekräftad, returnerar varje senare läsning—oavsett replik—den skrivningen.

Vad det kostar: under en partition eller när en minoritet av repliker är otillgängliga kan systemet fördröja eller avvisa läsningar/skrivningar för att undvika konfliktande tillstånd. Användare märker detta som timeouter, "försök igen" eller tillfälligt skrivskydd.

Eventuell konsistens (och vad användare kan märka)

Eventuell konsistens lovar att om inga nya uppdateringar sker kommer alla repliker konvergera. Det lovar inte att två användare som läser just nu ser samma sak.

Vad användare kan märka: en nyligen uppdaterad profilbild som "återgår", räknare som ligger efter, eller ett nyss skickat meddelande som inte syns på en annan enhet under en kort stund.

Användbara mellangarantier

Du kan ofta få en bättre upplevelse utan att kräva full stark konsistens:

• Read-your-writes: efter att du uppdaterat något ser du inte en äldre version av din egen data.
• Monotona läsningar: när du väl sett version N ser du inte senare version N-1.
• Kausal konsistens: om händelse B beror på A (svar efter att ha läst ett meddelande) ser alla A före B.

Dessa garantier matchar ofta hur människor tänker ("visa inte mina egna ändringar försvinna") och är enklare att upprätthålla under partiella fel.

Välj konsistensnivå baserat på förväntningar

Börja med användarlöften, inte jargong:

• Om felaktiga läsningar skapar oåterkallelig skada (penningöverföring, lagerreservation, behörighetsändringar) luta åt starkare konsistens och acceptera tillfällig otillgänglighet.
• Om funktionen tolererar kortvarig oenighet (likes, visningsräknare, feed-rankning) passar ofta eventuell eller kausal konsistens.
• Om kärnsmärtan är personlig förvirring ("jag sparade det—varför ser jag det inte?") prioritera read-your-writes och monotona läsningar.

Konsistens är ett produktval: definiera vad som är "fel" för en användare och välj den svagaste garantin som förhindrar det felaktiga tillståndet.

Tillgänglighet som ett produktbeslut, inte bara ett uptime-tal

Tillgänglighet i CAP är inte ett skrytmått ("fem nior")—det är ett löfte du ger användare om vad som händer när systemet inte kan vara säker.

Snabb framgång vs korrekt framgång

När repliker inte kan enas väljer du ofta mellan:

• Snabb framgång: returnera något snabbt (även om det kan vara föråldrat).
• Korrekt framgång: returnera endast när du kan bevisa att svaret är aktuellt.

Användare upplever detta som "appen fungerar" kontra "appen är korrekt." Varken är universellt bättre; rätt val beror på vad "fel" betyder i din produkt. Ett något föråldrat socialt flöde är irriterande. Ett föråldrat kontosaldo kan vara skadligt.

"Fail closed" vs. "fail open"

Två vanliga beteenden visar sig vid osäkerhet:

• Fail closed: avvisa begäran (fel, timeouter, skrivskyddat läge). Du skyddar korrektheten, men användare kan bli blockerade.
• Fail open: leverera bästa försökssvar (cache, lokal replik, köad skrivning). Du skyddar flödet, men kan visa inkonsekventa resultat.

Detta är inte en rent teknisk fråga; det är en policyfråga. Produkten måste definiera vad som är acceptabelt att visa och vad som aldrig får gissas.

Partiell tillgänglighet är fortfarande tillgänglighet

Tillgänglighet är sällan allt-eller-inget. Under en split kan du se partiell tillgänglighet: vissa regioner, nät eller användargrupper lyckas medan andra misslyckas. Detta kan vara en avsiktlig design (serva där lokal replik är frisk) eller en oavsiktlig effekt (routing-obalanser, ojämn kvorumåtkomst).

Degraderat läge: behåll kärnan, begränsa risken

Ett praktiskt mellanting är degraderat läge: fortsätt serva säkra åtgärder medan du begränsar riskabla. Till exempel, tillåt bläddring och sök, men inaktivera tillfälligt "överför pengar", "byt lösenord" eller andra operationer där korrekthet och unikhet är kritisk.

Konkreta exempel: matcha CAP-val till användningsfall

CAP känns abstrakt tills du mappar det till vad dina användare upplever under en nätverkssplit: vill du att systemet fortsätter svara, eller att det stoppar för att undvika konflikt?

Lager och ordering: risk för översäljning vs. kassaavbrott

Föreställ dig två datacenter som båda accepterar beställningar medan de inte kan prata med varandra.

Om du håller kassan tillgänglig kan varje sida sälja den "sista varan" och du riskerar översäljning. Det kan vara acceptabelt för lågprioriterade varor (du backorderar eller ber om ursäkt), men smärtsamt för begränsade lanseringar.

Om du väljer konsistens-först kan du blockera nya beställningar när du inte kan bekräfta lager globalt. Användare ser "försök igen senare", men du undviker att sälja något du inte kan leverera.

Betalningar och saldon: korrekthet först (och varför)

Pengar är det klassiska domen där att ha fel är dyrt. Om två repliker accepterar uttag oberoende under en split kan ett konto bli negativt.

System föredrar ofta konsistens vid kritiska skrivningar: avvisa eller fördröj åtgärder om de inte kan bekräfta senaste saldot. Du byter lite tillgänglighet (tillfälliga betalningsfel) mot korrekthet, revisorbarhet och förtroende.

Chatt, flöden, analys: "tillgängligt med lätt föråldrad data" duger

I chatt och sociala flöden tolererar användare oftast små inkonsekvenser: ett meddelande kommer några sekunder för sent, en gilla-räknare är felaktig, eller en visningsmetrik uppdateras senare.

Här kan design för tillgänglighet vara ett bra produktval, så länge du är tydlig med vilka delar som är "eventuellt korrekta" och kan slå ihop uppdateringar på ett bra sätt.

Poängen: din avvägning är ett affärsbeslut

"Rätt" CAP-val beror på kostnaden av att ha fel: återbetalningar, juridisk exponering, förtroendeförlust eller operationell kaos. Bestäm var du kan acceptera tillfällig föråldring—och var du måste faila closed.

Designmönster som implementerar din avvägning

När du bestämt vad du gör under ett nätverksbrott behöver du mekanismer som förverkligar beslutet. Dessa mönster dyker upp i databaser, meddelandesystem och APIer—även om produkten aldrig nämner "CAP".

Kvorum: majoritetsöverenskommelse

Ett kvorum är helt enkelt "majoriteten av replikerna håller med." Om du har 5 kopior av någon data är majoriteten 3.

Genom att kräva att läsningar och/eller skrivningar når en majoritet minskar risken att returnera föråldrad eller konfliktande data. Till exempel, om en skrivning måste bekräftas av 3 repliker är det svårare för två isolerade grupper att acceptera olika "sanningar."

Tradeoff: hastighet och räckvidd. Om du inte kan nå en majoritet (på grund av partition eller fel) kan systemet vägra operationen—välj konsistens över tillgänglighet.

Timeouter, retries och backoff formar upplevd tillgänglighet

Många "tillgänglighets"-problem är inte hårda fel utan långsamma svar. En kort timeout gör systemet kvickt men ökar risken att du behandlar långsamma succéer som misslyckanden.

Retries kan återhämta sig från övergående fel, men aggressiva retries kan överbelasta en redan kämpande tjänst. Backoff (vänta längre mellan retries) och jitter (slumpmässighet) hjälper till att förhindra att retries blir en trafiktopp.

Nyckeln är att alignera dessa inställningar med ditt löfte: "alltid svara" brukar innebära fler retries och fallback, medan "aldrig ljug" innebär tajtare gränser och tydligare fel.

Konflikthantering när du tillåter divergens

Om du väljer att förbli tillgänglig under partitioner kan repliker acceptera olika uppdateringar och du måste reconcila senare. Vanliga tillvägagångssätt inkluderar:

• Last-write-wins (LWW): välj uppdateringen med senaste tidsstämpel. Enkel, men kan tappa giltiga ändringar om klockor inte stämmer.
• Versionsvektorer (övergripande): bifoga en liten "historia" som hjälper upptäcka om uppdateringar är samtidiga eller om en överskuggar en annan.
• Merge-regler: definiera hur ändringar kombineras (t.ex. union för varukorgar; räknare adderas; profiler föredrar icke-tomma fält). Detta fungerar ofta bäst när det är inbyggt i datamodellen.

Idempotens: gör retries säkra

Retries kan skapa dubbletter: dubbeldebitering eller samma beställning två gånger. Idempotens förhindrar det.

Ett vanligt mönster är en idempotensnyckel (request ID) skickad med varje förfrågan. Servern lagrar det första resultatet och returnerar samma resultat för upprepade försök—så retries ökar tillgänglighet utan att korrupta data.

Hur validerar du CAP-antaganden i verkligheten

De flesta team "väljer" en CAP-inställning på en whiteboard—sedan upptäcker i produktion att systemet beter sig annorlunda under stress. Validering innebär att medvetet skapa de förhållanden där CAP-avvägningarna blir tydliga, och kontrollera att systemet reagerar som du designat.

Testa partitioner medvetet (säkert)

Du behöver inte en verklig kabelavklippning för att lära dig något. Använd kontrollerad felinjektion i staging (och försiktigt i produktion) för att simulera partitioner:

• Blackhole-trafik mellan specifika tjänster eller noder (drop paket utan att stänga anslutningar) för att efterlikna en tyst split.
• Döda länkar genom att blockera portar eller säkerhetsgruppsregler mellan repliker/regioner.
• Lägg till extrem latens och paketförlust så timeouter och retries beter sig som under en partition.
• Isolera leader (t.ex. isolera primary från ett kvorum) för att se om du failar "konsistent" eller "tillgänglig."

Målet är att besvara konkreta frågor: Blir skrivningar avvisade eller accepterade? Returnerar läsningar föråldrat data? Återhämtar sig systemet automatiskt, och hur lång tid tar rekonsilieringen?

Om du vill validera dessa beteenden tidigt (innan du investerat veckor i att koppla ihop tjänster) kan det hjälpa att snabbt spinna upp en realistisk prototyp. Till exempel börjar team som använder Koder.ai ofta med att generera en liten tjänst (vanligtvis en Go-backend med PostgreSQL plus en React UI) och itererar sedan på beteenden som retries, idempotensnycklar och "degraderat läge" i en sandbox-miljö.

Övervaka signaler som avslöjar CAP-problem

Traditionella uptime-kontroller fångar inte att systemet är "tillgängligt men felaktigt." Spåra:

• Felkvoter per operationstyp (läs vs skriv vs villkorliga uppdateringar).
• Indikatorer för föråldrade läsningar (read-your-writes-överträdelser, version/ETag-mismatch, lag-metrik).
• Replikdivergens (replikationslagg, misslyckade apply-räknare, konfliktrater).
• Timeouter/retries (ofta första tecknet på en framväxande split).

Runbooks och användarkommunikation

Operatörer behöver förbestämda åtgärder när en partition inträffar: när frysa skrivningar, när failover, när degradera funktionalitet och hur validera säker åter-merge.

Planera också användar-facing beteende. Om du väljer konsistens kan meddelandet vara "Vi kan inte bekräfta din uppdatering nu—vänligen försök igen." Om du väljer tillgänglighet, var tydlig: "Din uppdatering kan ta några minuter att synas överallt." Tydlig formulering minskar supportbördan och bevarar förtroendet.

En praktisk CAP-checklista för vardagliga systembeslut

När du fattar ett systembeslut är CAP mest användbart som en snabb "vad bryter vid en split?"-revision—inte en teoretisk debatt. Använd denna checklista innan du väljer databasfunktion, cachingstrategi eller replikationsläge.

1) En kort CAP-checklista

Ställ dessa i ordning:

• Vad måste vara korrekt? (t.ex. "ett bankkonto får aldrig bli negativt", "lager får inte översäljas", "behörigheter måste vara exakta")
• Vad måste hålla sig uppe? (t.ex. checkout-endpoint, inloggning, läs-katalog)
• Vad kan degradera tillfälligt? (t.ex. analys, rekommendationer, profilbilder, "senast online")

Om en nätverkspartition händer bestämmer du vilka av dessa du skyddar först.

2) Bestäm per datatyp och per endpoint

Undvik en enda global inställning som "vi är ett AP-system." Bestäm istället per:

• Datatyp: pengar vs likes vs loggar
• Endpoint: "lägg order" vs "visa order" vs "spåra leverans"

Exempel: under en split kan du blockera skrivningar till payments (favorisera konsistens) men hålla läsningar för product_catalog tillgängliga med cachead data.

3) Definiera "acceptabel inkonsistens" i konkreta termer

Skriv ned vad du kan tolerera, med exempel:

• Tidsgräns: "räknare kan ligga 5–10 minuter efter"
• Omfång: "lager kan vara fel med ±1 för lågtrafikerade artiklar"
• Fältnivå: "leverans-ETA kan vara föråldrad; ordertotal får inte vara det"
• Användartext: "visa 'i kö' istället för definitiv status"

Om du inte kan beskriva inkonsistens i klara exempel kommer du ha svårt att testa och förklara incidenter.

4) Slutsatser + vad att läsa härnäst

• Partitioner förvandlar "trevliga att ha"-garantier till tvångsval.
• Gör valen explicita per endpoint, och dokumentera acceptabel inkonsistens.

Nästa ämnen som passar bra med denna checklista: konsensus, konsistensmodeller och SLOs/error budgets.