Jim Gray, การประมวลผลธุรกรรม และเหตุใด ACID จึงยังสำคัญ

Jim Gray เป็นนักวิทยาการคอมพิวเตอร์ที่ช่วยทำให้การประมวลผลธุรกรรมเป็นเรื่องปฏิบัติได้และเข้าใจกันแพร่หลาย มรดกของเขาคือแนวคิดว่า การกระทำหลายขั้นตอนที่สำคัญ (การย้ายเงิน, การชำระเงิน, การเปลี่ยนแปลงการสมัคร) ต้องให้ผลลัพธ์ที่ ถูกต้อง แม้จะมีการแข่งกันทำงานและความล้มเหลวก็ตาม。

ในเชิงผลิตภัณฑ์: จะมีสถานะ “ลึกลับ” ลดลง งานไกล่เกลี่ยน้อยลง และมีความชัดเจนว่า "committed" หมายถึงอะไร

ธุรกรรมคือการรวมการอัปเดตหลายรายการเป็นหน่วยเดียวแบบ ทั้งหมดหรือไม่มีเลย คุณ commit เมื่อทุกขั้นตอนสำเร็จ และ roll back เมื่อมีสิ่งใดล้มเหลว。

ตัวอย่างที่พบบ่อย:

• การโอนเงิน: debit + credit + บันทึก audit
• การชำระเงิน (checkout): สร้างคำสั่งซื้อ + สำรองสต็อก
• การเปลี่ยนแปลงการสมัคร: การตัดสินใจด้านการเรียกเก็บเงิน + การเปลี่ยนแปลงสิทธิ์การใช้งาน

ACID คือชุดการรับประกันที่ทำให้ธุรกรรมเชื่อถือได้:

• Atomicity: ทุกขั้นตอนเกิดขึ้นทั้งหมด หรือไม่เกิดเลย
• Consistency: กฎและ invariant ยังคงถูกต้องหลัง commit
• Isolation: กิจกรรมพร้อมกันจะไม่ทำให้ผลลัพธ์ผิดพลาด
• Durability: ผลที่ commit จะคงอยู่แม้เกิดการล้มเหลว

มันไม่ใช่ปุ่มเปิด/ปิดเดียว — คุณเลือกว่าต้องการการรับประกันใดและระดับความเข้มข้นเท่าไร

บั๊กที่ "เกิดในโปรดักชันเท่านั้น" ส่วนใหญ่เกิดจาก isolation ที่อ่อนเมื่อมีโหลดสูง。

รูปแบบความล้มเหลวทั่วไป:

• Lost updates: เขียนทับกันระหว่างผู้เขียนสองคน
• Double-spend/oversell: สองการชำระเงินสำรองสินค้าชิ้นเดียวกัน
• Dirty reads: เห็นข้อมูลจากธุรกรรมที่ยังไม่ commit และอาจ rollback

การแก้จริงจัง: เลือกระดับ isolation ตามความเสี่ยงทางธุรกิจ และเสริมด้วย constraints/locking เมื่อจำเป็น

เริ่มจากเขียน invariant เป็นประโยคธรรมดา (สิ่งที่ต้องเป็นจริงเสมอ) แล้วกำหนดขอบเขตธุรกรรมที่เล็กที่สุดที่ต้อง atomic เพื่อปกป้อง invariant เหล่านั้น。

กลไกที่ทำงานร่วมกันได้ดี:

• ข้อจำกัดของฐานข้อมูล (เช่น “สต็อกไม่สามารถต่ำกว่า 0”)
• ข้อจำกัดเฉพาะ (unique) (เช่น “การชำระเงินหนึ่งรายการต่อ order”)
• Concurrency แบบ optimistic (คอลัมน์เวอร์ชัน) หรือการล็อกแบบชัดเจน

มอง constraints เป็นตาข่ายนิรภัยเมื่อโค้ดแอปพลิเคชันจัดการ concurrency ผิดพลาด

Write-ahead logging (WAL) คือวิธีที่ฐานข้อมูลทำให้คำว่า “commit” คงอยู่หลังการล้มเหลว。

เชิงปฏิบัติ:

• DB เพิ่มการเปลี่ยนแปลงลงใน append-only log
• ตอนรีสตาร์ทมันสามารถ redo งานที่ commit แล้วแต่ยังไม่เขียนลงไฟล์ข้อมูล และ undo งานที่ยังไม่สมบูรณ์

ด้วยเหตุนี้ การออกแบบที่ดีทำให้: แม้หลังไฟดับ

แบ็กอัพคือ snapshot ณ จุดเวลา ขณะที่ logs คือประวัติการเปลี่ยนแปลงตั้งแต่ snapshot นั้นไป。

แนวทางกู้คืนที่ใช้งานได้จริง:

• สำรองข้อมูลเป็นระยะ
• เก็บ/ส่ง logs เพื่อรองรับ point-in-time recovery
• ทดสอบการกู้คืนเป็นประจำในสเตจจิ้งและวัด RTO/RPO จริง

ถ้าคุณไม่เคยกู้คืนจากมัน แปลว่ายังไม่มีแผนจริง

การทำธุรกรรมแบบกระจายพยายามทำให้หลายระบบ commit เป็นหน่วยเดียว แต่การล้มเหลวแบบบางส่วนและ timeout ที่ไม่ชัดเจนทำให้เรื่องนี้ยาก。

Two-phase commit (2PC) มักเพิ่ม:

• การล็อกที่ยาวขึ้น (ทำให้ throughput ลด)
• การผูกกันแน่นระหว่างบริการ
• คอขวดจาก coordinator และปัญหาความพร้อมใช้งาน

ใช้เมื่อคุณต้องการ atomic ข้ามระบบจริงๆ และรับภาระด้านปฏิบัติการได้

ให้ขอบเขต ACID เล็กที่สุดเท่าที่เป็นไปได้ และจัดการงานข้ามบริการอย่างชัดเจน。

รูปแบบที่ใช้กันบ่อย:

• Sagas: แยกเวิร์กโฟลว์เป็นขั้นตอนแต่ละขั้นมีธุรกรรมท้องถิ่นของตัวเอง
• Compensating actions: หากขั้นตอนที่ 4 ล้มเหลว ให้ทำขั้นตอน "undo" (คืนเงิน ปล่อยสต็อก)
• Outbox pattern: เขียนการเปลี่ยนแปลง DB และ “event ที่จะเผยแพร่” ในธุรกรรมท้องถิ่นเดียวกัน แล้วส่งอย่างเชื่อถือภายหลัง

วิธีนี้ให้พฤติกรรมที่คาดเดาได้ภายใต้การ retry และความล้มเหลว โดยไม่ต้องทำให้ทุกเวิร์กโฟลว์กลายเป็นล็อกแบบทั่วโลก

ถือว่า timeout อาจหมายความว่า “มันสำเร็จแล้วแต่คุณไม่ได้รับคำตอบ” ออกแบบ retry ให้ปลอดภัย。

เครื่องมือที่ป้องกันการซ้ำ:

• Idempotency keys สำหรับการกระทำของผู้ใช้และการชำระเงิน
• ข้อจำกัดเฉพาะ (unique constraints) เพื่อบังคับผลลัพธ์แบบ "อย่างมากหนึ่งครั้ง"
• ตาราง dedupe สำหรับ webhook/อีเวนต์ (มักมี TTL)

แนวปฏิบัติที่ดี: ให้การตรวจสอบ dedupe และการเปลี่ยนแปลงสถานะอยู่ในธุรกรรมฐานข้อมูลเดียวกันเมื่อเป็นไปได้