Skip to content
~/zcrossoverz

Khi Database "Nói Dối": Hiểu Sâu về CAP, MVCC và Những Bất Thường Isolation

By Nhân Nguyễn on Apr 28, 2026
#backend#database

Khi Database “Nói Dối”: Hiểu Sâu về CAP, MVCC và Những Bất Thường Isolation

Bạn từng thấy một giao dịch ngân hàng bị trừ tiền hai lần dù chỉ bấm một lần? Hay tự hỏi tại sao PostgreSQL và Oracle cư xử khác nhau dù cùng mức isolation? Bài viết này sẽ giúp bạn nhìn thấu bên trong các hệ quản trị cơ sở dữ liệu, từ CAP Theorem bị hiểu sai đến Write Skew – hiện tượng mà ngay cả Repeatable Read cũng không cứu nổi.

Mở đầu: Hai lần chuyển tiền, một lần trừ tiền?

Hãy hình dung bạn đang xây dựng hệ thống ngân hàng X. Team dev viết một service chuyển tiền đơn giản, chạy trên PostgreSQL với mức isolation mặc định READ COMMITTED:

@Transactional(isolation = Isolation.READ_COMMITTED)
public void transfer(Long fromId, Long toId, BigDecimal amount) {
    Account from = accountRepo.findById(fromId).orElseThrow();
    if (from.getBalance().compareTo(amount) < 0) {
        throw new InsufficientBalanceException();
    }
    from.setBalance(from.getBalance().subtract(amount));
    accountRepo.save(from);

    Account to = accountRepo.findById(toId).orElseThrow();
    to.setBalance(to.getBalance().add(amount));
    accountRepo.save(to);
}

Một khách hàng gửi cùng lúc hai request chuyển 500.000đ, tài khoản ban đầu có 600.000đ. Kết quả thực tế: cả hai request đều thành công, tài khoản âm 400.000đ! Nhiều lập trình viên sẽ phán ngay “race condition”, nhưng trong lý thuyết database, đây chính là Lost Update – một trong những anomaly (bất thường) được đặt tên rõ ràng. Và nếu bài toán thêm ràng buộc “tổng số dư + hạn mức tín dụng > 0”, bạn sẽ đối mặt với một con quái vật khác: Write Skew, thứ mà ngay cả REPEATABLE_READ của PostgreSQL cũng không ngăn được.

Bài viết này sẽ lần theo mạch kiến thức từ những khái niệm nền tảng như CAP Theorem, MVCC cho đến các chiến lược khóa (lock), mức isolation và cách phòng tránh mất mát dữ liệu trong các hệ thống thực tế. Đây là “kim chỉ nam” giúp bạn trả lời mọi câu hỏi phỏng vấn senior về database consistency.

1. CAP Theorem – Đọc đúng kẻo “chọn 2 trong 3” là sai

Nếu bạn từng nghe: “MongoDB chọn AP, PostgreSQL chọn CP” thì đó là một cách đơn giản hóa thái quá, dễ dẫn đến hiểu nhầm. CAP theorem, do Eric Brewer đề xuất năm 2000, phát biểu chính xác rằng:

Khi xảy ra phân vùng mạng (Partition – P), một hệ phân tán buộc phải chọn giữa Tính nhất quán (Consistency – C) hoặc Tính khả dụng (Availability – A). Không có chuyện chọn một cặp cố định trong điều kiện bình thường.

Nói cách khác, CAP chỉ áp dụng khi có sự cố mạng chia cắt các node. Lúc đó bạn không thể vừa trả lời mọi request (khả dụng) vừa đảm bảo dữ liệu đồng nhất trên toàn cụm (nhất quán). Còn khi hệ thống hoạt động bình thường, bạn còn phải đánh đổi giữa Độ trễ (Latency)Tính nhất quán. Đó là lý do mô hình PACELC ra đời, mở rộng CAP một cách thực dụng hơn:

Nếu có Partition (P):
    chọn A (Availability) hay C (Consistency)
Ngược lại (Else - E):
    chọn L (Latency) hay C (Consistency)

Bảng dưới đây minh họa cách các hệ thống phổ biến chọn lựa:

Hệ thốngPACELC phân loạiGiải thích ngắn gọn
DynamoDBPA/ELKhi phân mạng, ưu tiên trả lời (A). Bình thường ưu tiên giảm độ trễ.
Google SpannerPC/ECLuôn ưu tiên nhất quán, dùng đồng hồ nguyên tử TrueTime làm chậm ghi.
PostgreSQL (single-node)Không PKhông có phân mạng nên CAP không áp dụng.
PostgreSQL (sync replica)PC/ECGhi đồng bộ sang replica, chấp nhận ghi chậm để đạt nhất quán mạnh.
MongoDB replica setPA/ELGhi primary, đọc từ secondary có thể thấy dữ liệu cũ (eventually consistent).

Vậy tại sao interviewer vẫn hỏi CAP với single database? Vì họ muốn kiểm tra xem bạn có hiểu rằng CAP là bài toán của hệ phân tán, và single-node PostgreSQL không có khái niệm partition nên không thuộc phạm trù này. Nhưng khi bạn dùng read replica hay multi-master, bạn đã bước vào thế giới CAP.

Tóm lại: Hãy quên câu thần chú “chọn 2 trong 3”. Học thuộc PACELC và luôn gắn ngữ cảnh: có partition hay không?

2. Hành trình từ Strong đến Eventual Consistency

Consistency trong database không đơn giản là “có” hay “không”. Nó là một phổ liên tục, từ mức mạnh nhất (Linearizability) đến mức yếu dần (Eventual).

  • Linearizability (Strong Consistency – Mạnh nhất): Mỗi thao tác như thể xảy ra tại một thời điểm nguyên tử. Nếu một write hoàn thành, mọi read sau đó phải thấy giá trị mới (hoặc mới hơn). Đạt được qua Raft, Paxos, 2PC, hoặc single-master với đồng bộ replica.
  • Sequential Consistency: Thứ tự các thao tác được duy trì giống như một chuỗi tuần tự, nhưng không yêu cầu thời gian thực chính xác như Linearizability.
  • Causal Consistency: Các thao tác có quan hệ nhân quả thì phải được thấy theo đúng thứ tự đó; các thao tác không liên quan có thể thấy khác nhau.
  • Eventual Consistency: Nếu không có cập nhật mới, cuối cùng tất cả bản sao sẽ hội tụ về cùng một giá trị. Không đảm bảo khi nào.

PostgreSQL REPEATABLE READ và Oracle SERIALIZABLE thực chất đều dựa trên Snapshot Isolation (SI). SI đảm bảo mỗi transaction đọc từ một “bản chụp” dữ liệu tại thời điểm transaction bắt đầu, giúp read không block write và ngược lại. Nhưng SI không phải Linearizability: hai transaction song song có thể không thấy nhau, dẫn đến những anomaly như Write Skew.

3. MVCC – Phiên bản kép, không khóa

Multi-Version Concurrency Control (MVCC) là kỹ thuật giúp database phục vụ nhiều transaction đồng thời mà ít phải dùng khóa (lock). Thay vì khóa một hàng khi có transaction muốn ghi, MVCC tạo ra một phiên bản mới của hàng đó. Các transaction đọc vẫn thấy phiên bản cũ, còn transaction ghi làm việc trên bản mới. Không ai phải chờ ai.

3.1 PostgreSQL – xmin, xmax và VACUUM

Mỗi hàng trong PostgreSQL ẩn chứa hai cột hệ thống: xmin (ID của transaction tạo ra hàng) và xmax (ID của transaction xóa hàng, hoặc 0 nếu chưa bị xóa). Khi bạn cập nhật, PostgreSQL thực chất:

  1. Đánh dấu hàng cũ bằng xmax = current_txid (transaction hiện tại xóa nó).
  2. Chèn một hàng mới với xmin = current_txid, mang giá trị mới.

Các transaction khác đọc dữ liệu dựa trên “snapshot” tại thời điểm bắt đầu: chỉ thấy những hàng có xmin đã commit và xmax chưa commit hoặc bằng 0.

Hãy cùng mô phỏng kịch bản chuyển tiền 600K với hai transaction song song (TX1 và TX2) ở mức REPEATABLE_READ:

TX1 bắt đầu: đọc balance = 600K (hàng có xmin=50, xmax=null)
TX2 bắt đầu: đọc balance = 600K (cùng snapshot)

TX1 cập nhật balance = 100K:
   Hàng cũ: balance=600K, xmin=50, xmax=TX1
   Hàng mới: balance=100K, xmin=TX1, xmax=null
TX1 commit.

TX2 tiếp tục cập nhật (vẫn dùng snapshot cũ, không thấy commit của TX1):
   PostgreSQL phát hiện hàng cũ đã bị TX1 sửa -> báo lỗi:
   ERROR: could not serialize access due to concurrent update

Đây chính là optimistic concurrency control: thay vì khóa ngay từ đầu, PostgreSQL kiểm tra xung đột tại thời điểm commit và yêu cầu ứng dụng retry.

VACUUM: Các phiên bản cũ bị đánh dấu xóa vẫn nằm trong bảng (gọi là “dead tuples”). PostgreSQL cần tiến trình VACUUM để dọn dẹp và thu hồi không gian. Nếu không VACUUM kịp, bảng sẽ phình to (bloat), giảm hiệu suất nghiêm trọng.

3.2 Oracle – UNDO Segment và ORA-01555

Oracle chọn cách khác: cập nhật tại chỗ (in-place). Khi một transaction ghi, Oracle lưu giá trị cũ vào UNDO segment, rồi ghi đè trực tiếp lên hàng. Các transaction đọc khác vẫn cần thấy dữ liệu cũ sẽ tìm trong UNDO segment và dựng lại phiên bản phù hợp dựa trên System Change Number (SCN).

Ưu điểm: Hàng trong bảng không bị phình ra nhiều phiên bản. Nhược điểm: Nếu UNDO segment bị ghi đè quá sớm, transaction đọc lâu sẽ gặp lỗi ORA-01555: snapshot too old – một cơn ác mộng với DBA Oracle.

So sánh nhanh MVCC giữa hai ông lớn:

PostgreSQLOracle
Cơ chếGiữ mọi phiên bản trong bảng (xmin/xmax)Cập nhật tại chỗ, đẩy dữ liệu cũ vào UNDO
Dọn dẹpVACUUM (thủ công/auto)Tự động dọn UNDO khi không còn tx cần
Vấn đề điển hìnhTable bloat, autovacuum không theo kịpSnapshot too old, quản lý UNDO tablespace

4. “Bộ sưu tập” Isolation Anomalies – Không chỉ Dirty Read

SQL Standard định nghĩa 3 anomaly kinh điển: Dirty Read, Non-Repeatable Read, Phantom Read. Nhưng thực tế còn nhiều hơn thế, đặc biệt khi bạn làm việc với các ràng buộc nghiệp vụ phức tạp.

Dưới đây là 6 anomaly bạn phải nắm vững, kèm ví dụ trong ngữ cảnh ngân hàng:

AnomalyMô tảVí dụ Banking
Dirty ReadĐọc dữ liệu chưa commitTX1 đọc balance sau khi TX2 trừ tiền nhưng TX2 chưa commit. Nếu TX2 rollback, TX1 đã thấy giá trị “ma”.
Non-Repeatable ReadĐọc cùng một row hai lần, kết quả khác nhauTX1 đọc balance=600K, TX2 cập nhật và commit, TX1 đọc lại thấy 100K.
Phantom ReadCùng truy vấn range, số lượng row thay đổiĐếm giao dịch hôm nay lần 1 được 50, sau đó có giao dịch mới insert, đếm lại được 51.
Lost UpdateHai transaction cùng đọc giá trị cũ, cùng ghi đè, dẫn đến mất một cập nhậtCả 2 đọc balance=600K, cùng trừ 500K, kết quả balance=100K (đúng ra phải -400K hoặc chỉ 1 thành công).
Write SkewHai transaction đọc dữ liệu trùng lặp một phần, nhưng ghi vào các hàng khác nhau, làm hỏng invariantLịch trực bác sĩ: mỗi bác sĩ xin nghỉ, đều thấy còn 2 người trực nên được phép, cuối cùng không còn ai trực.
Read SkewĐọc dữ liệu liên quan từ nhiều bảng, giữa các lần đọc có transaction khác thay đổi cả haiĐọc balance A=500K, rồi balance B=300K. Trong khi đó, giao dịch chuyển 200K từ A sang B vừa commit. Tổng A+B bị tính sai.

Write Skew đặc biệt nguy hiểm vì nó không vi phạm ràng buộc khóa ở mức row, và Snapshot Isolation (hay REPEATABLE_READ của PostgreSQL) không phát hiện ra. Lý do: hai transaction ghi trên hai hàng khác nhau, không có write-write conflict trực tiếp. Để ngăn chặn, bạn cần Serializable thực sự (như PostgreSQL SSI), hoặc dùng khóa chủ động.

5. Các mức Isolation – Ai phòng được gì?

5.1 Theo tiêu chuẩn SQL

LevelDirty ReadNon-Repeatable ReadPhantom Read
READ UNCOMMITTED❌ Cho phép❌ Cho phép❌ Cho phép
READ COMMITTED✅ Ngăn❌ Cho phép❌ Cho phép
REPEATABLE READ✅ Ngăn✅ Ngăn❌ Cho phép
SERIALIZABLE✅ Ngăn✅ Ngăn✅ Ngăn

5.2 Nhưng các vendor lại triển khai rất khác nhau!

Đây là cái bẫy lớn nhất khi bạn chủ quan tin vào tên gọi:

DatabaseREAD COMMITTEDREPEATABLE READSERIALIZABLE
PostgreSQLMVCC, đọc bản commit mới nhấtSnapshot Isolation (SI) – thực tế không có phantomSerializable Snapshot Isolation (SSI) – thực sự tuần tự
OracleMVCCKhông hỗ trợ, nhảy thẳng lên SERIALIZABLEChỉ là Snapshot Isolation (không phải serializable thực thụ)
MySQL InnoDBMVCCSI + khóa khoảng (gap lock) ngăn phantomNhiều khóa hơn (range locks)
SQL ServerLock-based (mặc định) hoặc MVCC (RCSI)Giữ khóa đến commitKhóa dựa trên range

Ba cú sốc cần nhớ:

  1. Oracle SERIALIZABLE chỉ là Snapshot Isolation, vẫn dính Write Skew.
  2. PostgreSQL SERIALIZABLE là Serializable thực sự, dùng SSI, phát hiện xung đột lúc commit và hủy transaction nếu cần.
  3. MySQL REPEATABLE READ (mặc định) ngăn được Phantom nhờ gap lock, trái với chuẩn SQL.

6. Production–Grade: Từ Lock, Retry đến Idempotency

6.1 Chống Lost Update – Optimistic Lock

Với JPA/Hibernate, cách đơn giản nhất là dùng @Version:

@Entity
public class Account {
    @Id private Long id;
    private BigDecimal balance;

    @Version
    private Long version;
}

Lúc này, khi update, Hibernate sẽ sinh câu lệnh:

UPDATE accounts
SET balance = ?, version = version + 1
WHERE id = ? AND version = ?;

Nếu version đã bị thay đổi bởi transaction khác, số hàng ảnh hưởng = 0, và Hibernate ném OptimisticLockException. Bạn phải có retry logic. Đối với ứng dụng ít xung đột, đây là giải pháp tuyệt vời.

6.2 Khi “tài khoản nóng” – Pessimistic Lock

Tài khoản tổng của doanh nghiệp, được giao dịch liên tục, sẽ tạo ra contention khủng khiếp nếu dùng optimistic lock. Lúc này hãy khóa ngay từ đầu:

@Lock(LockModeType.PESSIMISTIC_WRITE)
@Query("SELECT a FROM Account a WHERE a.id = :id")
Optional<Account> findByIdForUpdate(@Param("id") Long id);

PostgreSQL sẽ chạy SELECT ... FOR UPDATE. Cực kỳ quan trọng: bạn phải khóa theo thứ tự ID cố định (ví dụ MIN(id), MAX(id)) để tránh deadlock khi hai transaction chuyển tiền chéo nhau.

6.3 Viết lại logic chuyển tiền an toàn

@Transactional(isolation = Isolation.READ_COMMITTED)
public void transfer(Long fromId, Long toId, BigDecimal amount) {
    Long firstId = Math.min(fromId, toId);
    Long secondId = Math.max(fromId, toId);

    Account first = accountRepo.findByIdForUpdate(firstId).orElseThrow();
    Account second = accountRepo.findByIdForUpdate(secondId).orElseThrow();

    Account from = fromId.equals(firstId) ? first : second;
    Account to = fromId.equals(firstId) ? second : first;

    if (from.getBalance().compareTo(amount) < 0) {
        throw new InsufficientBalanceException();
    }

    from.setBalance(from.getBalance().subtract(amount));
    to.setBalance(to.getBalance().add(amount));
    accountRepo.save(from);
    accountRepo.save(to);
}

Bằng cách này, dù có bao nhiêu request đồng thời, chúng sẽ lần lượt chờ khóa. Transaction thứ hai sẽ đọc được balance mới sau khi transaction thứ nhất commit, và logic kiểm tra số dư hoạt động chính xác – không cần retry phức tạp.

6.4 Ngăn Write Skew – Sức mạnh của Serializable (PostgreSQL SSI)

Với bài toán lịch trực bác sĩ:

@Transactional(isolation = Isolation.SERIALIZABLE)
@Retryable(value = SerializationFailureException.class,
           maxAttempts = 3, backoff = @Backoff(delay = 100))
public void requestTimeOff(Long doctorId, String shift) {
    long onCallCount = oncallRepo.countByShiftAndOnDuty(shift, true);
    if (onCallCount < 2) {
        throw new MinimumStaffingViolation();
    }
    Oncall record = ...;
    record.setOnDuty(false);
    oncallRepo.save(record);
}

PostgreSQL SSI theo dõi “predicate lock” (khóa trên điều kiện truy vấn) và xây dựng đồ thị phụ thuộc. Nếu phát hiện chu trình (cycle) giữa các transaction, nó sẽ hủy một trong số chúng với thông báo “could not serialize access”. Ứng dụng bắt buộc phải retry. Đây là cái giá cho sự an toàn dữ liệu.

6.5 Idempotency Key – “Vaccine” chống click đúp

Ngay cả khi bạn có Serializable, nếu client gửi cùng request hai lần (do timeout mạng, người dùng nhấn đúp), bạn vẫn có thể thực hiện giao dịch hai lần. Giải pháp là Idempotency Key:

  • Tạo một bảng idempotency_keys với unique constraint trên key_value.
  • Cùng trong một transaction: insert key, nếu lỗi unique constraint thì trả về kết quả của giao dịch trước đó.
  • Nếu thành công, tiếp tục chuyển tiền và cập nhật resource_id vào bảng key.

Quan trọng: Insert idempotency key và thực hiện giao dịch phải nằm trong cùng transaction – nếu không, crash giữa chừng sẽ tạo key mồ côi.

6.6 Reconciliation – Kiểm tra chéo định kỳ

Dù đã áp dụng mọi kỹ thuật, hãy luôn có cơ chế đối soát (reconciliation) định kỳ như chạy script mỗi đêm để phát hiện mất cân bằng. Ví dụ, kiểm tra tổng debit có bằng tổng credit trong sổ cái không. Nếu lệch, lập tức báo động để ops team điều tra – đó là tấm lưới an toàn cuối cùng.

7. Trade-offs và Anti-patterns

7.1 Chọn Isolation Level: Cây quyết định

Không có shared mutable state?
  → READ COMMITTED (tối ưu hiệu năng)

Có update cùng row, có nguy cơ lost update?
  → Contention thấp: Optimistic lock (@Version) + retry
  → Contention cao: SELECT FOR UPDATE (pessimistic lock)
  → Hoặc REPEATABLE_READ (PostgreSQL) + retry khi bị abort

Có invariant phức tạp (write skew)?
  → SERIALIZABLE (PostgreSQL SSI) + retry
  → Hoặc SELECT FOR UPDATE để materialize conflict

Distributed transaction?
  → Saga + Outbox Pattern (chủ đề khác)

7.2 Đừng lạm dụng SERIALIZABLE

Thấy race condition là set ngay @Transactional(isolation = SERIALIZABLE) cho mọi service – đây là sai lầm phổ biến. Hậu quả:

  • PostgreSQL SSI sẽ abort transaction khi phát hiện xung đột, nhưng nếu không có retry, người dùng sẽ thấy lỗi 500 khó hiểu.
  • Overhead của predicate lock làm giảm throughput đáng kể.

Hãy chọn isolation level tối thiểu cần thiết và kết hợp với lock chủ động.

7.3 Transaction dài – Kẻ thù của MVCC

Giữ transaction suốt 20 giây để gọi API ngoại vi, tạo PDF rồi upload S3 là cách hủy hoại PostgreSQL: snapshot cũ tồn tại quá lâu, ngăn VACUUM dọn dẹp dead tuple, dẫn đến table bloat, connection pool cạn kiệt. Luôn tách transaction: đọc nhanh, xử lý bên ngoài, ghi lại nếu cần.

7.4 Đừng dùng CAP để bào chữa cho Eventual Consistency sai chỗ

“Vì CAP, chúng em chọn AP nên balance hiển thị chậm” – nghe rất kỹ thuật nhưng sai bản chất. Với core banking, không có chỗ cho eventual consistency. Bạn cần kiến trúc PC/EC: single-master với sync replica, chấp nhận đánh đổi vài mili giây để bảo vệ tính toàn vẹn. CAP chỉ đúng khi có partition, mà partition thực sự hiếm khi xảy ra. Đừng hy sinh dữ liệu chỉ vì một khả năng lý thuyết.

8. Kết luận: Làm chủ Consistency, Làm chủ dữ liệu

Hiểu sâu về CAP, MVCC và các anomaly không chỉ giúp bạn trả lời phỏng vấn xuất sắc, mà còn xây dựng được những hệ thống tài chính, thương mại điện tử vững chắc. Hãy nhớ:

  • CAP là câu chuyện của hệ phân tán; với single-node thì không liên quan đến P.
  • MVCC là nền tảng của hiệu năng concurrent, nhưng cần hiểu rõ cách PostgreSQL (VACUUM) và Oracle (UNDO) khác nhau.
  • Lost Update và Write Skew là những kẻ giấu mặt, không thể chỉ dùng isolation level mặc định mà phòng tránh.
  • Chọn đúng công cụ: optimistic lock, pessimistic lock, Serializable SSI hay Idempotency Key tùy vào bài toán.

Database không nói dối, nhưng nếu bạn không hiểu nó, nó sẽ cho bạn những kết quả “không tưởng”. Với những kiến thức này, bạn đã có chiếc chìa khóa để mở cánh cửa vào thế giới của những hệ thống nhất quán và đáng tin cậy.

Hãy kết nối

Nếu bạn quan tâm tới việc hợp tác, có câu hỏi về bài viết, hay chỉ đơn giản muốn chuyện trò về backend — cứ ping mình nhé.

GitHubGửi email