Amazon RDS für PostgreSQL ist eine verwaltete Datenbanklösung, die von Amazon Web Services angeboten wird und auf der beliebten Open-Source-Datenbank PostgreSQL basiert. Diese Lösung ermöglicht es Unternehmen, leistungsfähige Datenbanken ohne den hohen administrativen Aufwand eigenständig bereitzustellen und zu betreiben. Besonders durch Multi-AZ (Availability Zone) Deployments verspricht das System hohe Verfügbarkeit, eine robuste Replikation und ausfallsichere Datenspeicherung, die geschäftskritische Anwendungen zuverlässig unterstützen sollen. Trotz dieser Vorteile wirft eine aktuelle Analyse von Jepsen, einem führenden Expertenteam für verteilte Systeme und Datenbankkonsistenz, ein neues Licht auf die Konsistenzmodelle, die Amazon RDS für PostgreSQL tatsächlich unterstützt. Ihr Bericht offenbart gewisse Abweichungen von den erwarteten Standards und gibt wichtige Hinweise für Nutzer, die auf höchste Datensicherheit und Konsistenz angewiesen sind.
PostgreSQL selbst ist für seine drei wesentlichen Isolationsstufen bekannt, die multiversionale Parallelitätskontrolle (MVCC) einsetzen. Von den klassisch definierten Transaktionsisolationsstufen entspricht "Read Committed" in der Praxis dem gleichnamigen Level, wohingegen "Repeatable Read" tatsächlich das Modell der Snapshot Isolation abdeckt, und "Serializable" am höchsten durch das Serialisierbarkeitsmodell für Konsistenz steht. Innerhalb von Amazon RDS ist der Zugriff auf die Datenbank über verschiedene Endpunkte möglich: Der primäre Endpunkt unterstützt Lese- und Schreiboperationen einschließlich aller Isolationsstufen, während die sekundären (Read-Only) Endpunkte in der Regel keine serialisierbaren Transaktionen zulassen. Dadurch ergibt sich für Multi-AZ Cluster als stärkster konsistenter Zustand ein Snapshot Isolation Niveau, das als minimaler Konsistenzstandard zugrunde gelegt wird. Die Untersuchung von Jepsen zeigte jedoch, dass diese Annahme in der Praxis nicht immer haltbar ist.
Unter gesunden und stabilen Betriebsbedingungen wurden immer wieder sogenannte G-nonadjacent Zyklen festgestellt – ein Indikator für Verletzungen der Snapshot Isolation. Konkret konnte das Forschungsteam Beobachtungen machen, bei denen Transaktionen innerhalb eines kurzen Zeitfensters in widersprüchlichen Abhängigkeiten standen und nicht anhand eines einzigen konsistenten Daten-Snapshots erklärt werden konnten. Dieses Verhalten manifestiert sich unter anderem durch eine sogenannte Long Fork – eine Situation, in der zwei parallele Transaktionsstränge zunächst getrennt voneinander unterschiedliche Datenbereiche aktualisieren, diese sich jedoch gegenseitig nicht erkennen oder beeinflussen. In einer klassischen Snapshot Isolation wäre dies unwahrscheinlich bis unmöglich. Die Konsequenz hierbei ist, dass Amazon RDS für PostgreSQL Multi-AZ Cluster unter Umständen eine schwächere Konsistenzgarantie bereitstellen – üblicherweise als Parallel Snapshot Isolation bezeichnet.
Dieses Modell erlaubt mehr Parallelität in Transaktionen, geht dafür aber Kompromisse in der Konsistenz ein. Beispielsweise können Leseoperationen gegen sekundäre Endpunkte zu unterschiedlichen Sichtweisen auf den Transaktionsverlauf führen, was besonders bei sicherheits- oder datenintegritätskritischen Anwendungsfällen problematisch sein kann. Ein weiterer wichtiger Aspekt der Untersuchung betrifft die zugrundeliegenden Mechanismen der Sichtbarmachung von Transaktionen. Laut neuen Erkenntnissen, unterstützt durch Diskussionen der Community und Forscher wie Sergey Melnik von AWS, hängt die Reihenfolge, in der Änderungen sichtbar werden, von einem entscheidenden Unterschied zwischen dem Hauptknoten (Primary) und den Replica-Knoten (Secondaries) ab. Während auf dem Primärknoten die Sichtbarkeit der Transaktionen mithilfe eines in-memory Locks bestimmt wird, basiert die Reihenfolge auf den Sekundärknoten auf der Reihenfolge der Einträge im sogenannten Write-Ahead Log (WAL).
Diese zwei Sichtweisen können divergieren und erklären, warum das System an verschiedenen Endpunkten unterschiedliche Zeitlinien für Transaktionen präsentieren kann. Die Auswirkungen dieser Differenzen sind weitreichend. Entwickler und Datenbankadministratoren müssen sich bewusst sein, dass die Nutzung von Read-Only Endpunkten in Multi-AZ Umgebungen mit Amazon RDS möglicherweise unerwartete Konsistenzprobleme erzeugt, die sich in seltsamen Anomalien wie Long Fork oder ähnlichen Zyklen äußern. Menschen, die ihre Anwendung so konzipieren, dass die Genauigkeit und Vollständigkeit der gelesenen Daten in jeder Situation gewährleistet sein muss, sollten diese Erkenntnisse in ihre Entscheidungen über die Architektur integrieren. Aus Anwendersicht bedeutet dies, dass bei der Entwicklung und dem Design von Anwendungen, die Amazon RDS für PostgreSQL Multi-AZ Cluster nutzen, besondere Vorsicht und präventive Strategien angebracht sind.
Es empfiehlt sich, sämtliche kritischen Transaktionen auf den primären Endpunkt zu beschränken oder zusätzliche Kontrollmaßnahmen einzubauen, die Ungereimtheiten frühzeitig erkennen. Sicherheitsrelevante Operationen, die auf ein stringentes Konsistenzmodell angewiesen sind, lassen sich eventuell verwalten, indem man schreibende Zugriffe als Trigger für Aktualisierungen nutzt, sodass Leseoperationen konsistenter ablaufen. Die Ergebnisse von Jepsen sind ein bedeutender Weckruf für die Entwickler und Nutzer von verteilten Datenbanklösungen auf Manage-Service-Basis. Prinzipiell steigert die Nutzung von Multi-AZ Clustern die Ausfallsicherheit durch geografisch verteilte Datenreplikationen und schnelle Failover-Mechanismen. Dennoch gilt es, sich der Limitationen bewusst zu sein, besonders wenn eine präzise Konsistenz erwartet wird.
Amazon selbst hat bereits auf die Untersuchung reagiert und arbeitet an der Dokumentation dieser Spezialfälle, um den Nutzern mehr Transparenz und bessere Entscheidungsgrundlagen zu bieten. Für die Zukunft ist es wahrscheinlich, dass Amazon Web Services und die PostgreSQL Community gemeinsam an Lösungen arbeiten werden, um die Kluft zwischen Nutzererwartungen und realen Verhaltensweisen in Multi-AZ Setups zu schließen. Verbesserungen könnten zum Beispiel eine Angleichung der Sichtbarkeitsmechanismen oder neue Synchronisationsansätze zur Konsistenzoptimierung umfassen. Bis dahin hilft eine fundierte Kenntnis der momentanen technischen Gegebenheiten Anwendern dabei, die Verfügbarkeit und Performance von Amazon RDS für PostgreSQL gezielt einzusetzen und gleichzeitig Kosten im Bereich der Inkonsistenzminimierung zu steuern. Abschließend bleibt festzuhalten, dass Amazon RDS für PostgreSQL 17.
4 ein mächtiges Werkzeug in der Cloud-Datenbanklandschaft darstellt. Dennoch zeigt die Analyse von Jepsen Anforderungen an eine bewusste und informierte Nutzung des Systems auf. Unternehmen sollten neben den Performance- und Ausfallsicherheitsvorteilen gleichermaßen die potenziellen Herausforderungen im Transaktionsverhalten berücksichtigen. Ein kluger Umgang mit den Möglichkeiten und Grenzen der Datenbankinfrastruktur sichert langfristig Stabilität, Datenintegrität und die Zufriedenheit der Nutzer in kritischen Anwendungsfällen.
![Can AI Change Your View? Evidence from a Large-Scale Online Experiment [pdf]](/images/E31DBCBB-C1CD-4CA9-8D5F-281F2377CBC6)
