Ordres de d´ elivrance Protocoles ordonn´ es

Le transfert des messages dans un r´eseau ne respecte pas forc´ement des r`egles d’ordonnancement strictes si des contraintes ne sont pas sp´ecifi´ees et respect´ees par les protocoles de communication. En cons´equence, de nombreux protocoles ont ´et´e propos´es afin de structurer davantage ces ´echanges.

Les applications coop´eratives n´ecessitent des services (protocoles) avec diff´erentes garanties d’ordre et fiabilit´e quant `a la d´elivrance des messages sur les sites r´ecepteurs. Nous en d´ecrivons ici les principaux : FIFO, CAUSAL et TOTAL. Ces services impliquent deux types de garantie : ordre et fiabilit´e.

Ordre FIFO Le service FIFO garantit que les messages d’un mˆeme ´emetteur sont d´elivr´es dans le

mˆeme ordre que celui de leur envoi.

D´elivrance FIFO Si un processus p envoie deux messages, alors ces messages sont re¸cus dans l’ordre

d’envoi par tout r´ecepteur. Formellement :

ti = send(p, m)∧ tj = send(p, m)∧ ti< tj∧ tk= deliver(q, m)∧ tl= deliver(q, m)⇒ tk < tl

FIFO Fiable Si un processus p envoie le message m avant le message m, alors tout processus q

recevant m, re¸coit ´egalement m. Formellement :

ti = send(p, m)∧ tj = send(p, m)∧ i < j ∧ receives(q, m)⇒ receives(q, m)

Certains syst`emes de coordination (par exemple Ensemble, Horus et RMP) fournissent un service FIFO fiable qui satisfait les deux propri´et´es sans imposer d’autres contraintes d’ordre. Les protocoles xAMp fournissent ´egalement plusieurs services satisfaisant la d´elivrance FIFO en offrant diff´erentes garanties quant `a la fiabilit´e.

Ordre CAUSAL L’ordre CAUSAL ´etend l’ordre FIFO en imposant qu’un message m, repr´esentant

une r´eponse suite `a une question m, soit toujours d´elivr´e apr`es le message m.

D´elivrance CAUSALE Si deux messages m et msont envoy´es tel que m pr´ec`ede causalement m,

alors tout processus recevant les deux messages, m, re¸coit m avant m. Formellement :

t_i= send(p, m)∧ t_j = send(p, m)∧ t_i→ t_j∧ t_k = deliver(q, m)∧ t_l= deliver(q, m)⇒ t_k < t_l

CAUSAL Fiable Si le message m pr´ec`ede causalement un message m, alors tout processus q

recevant m, re¸coit ´egalement m. Formellement :

ti= send(p, m)∧ tj = send(p, m)∧ ti→ tj∧ receives(q, m)⇒ receives(q, m)

La primitive CBCAST (Causal Broadcast) de l’ISIS a ´et´e probablement la premi`ere implantation d’un service fiable d’ordre causal. Il existe d’autres syst`emes de coordination fournissant ce service, parmi lesquels on peut citer Transis, Horus, Newtop et xAMp.

Ordre TOTAL La plupart des services de coordination mettent `a disposition un service d’ordre total

qui ´etend l’ordre CAUSAL. Ce service garantit que les messages sont d´elivr´es dans le mˆeme ordre par tous les processus r´ecepteurs. La mise en œuvre d’un ordre total utilise souvent une fonction d’ordonnancement injective, appel´ee fonction d’estampillage. Cette fonction met en relation l’ensembleM des messages et l’ensembleN des entiers :

T S f unction(f )d´= f :ef M → N ∧ f(m) = f(n) ⇒ m = m

D´elivrance TOTALE Il existe une fonction d’estampillage f telle que les messages sont re¸cus par

tous les processus dans un ordre consistent avec f . Formellement :

∃f : T S function(f) ∧ ∀p∀m∀m _{: recv bef ore(p, m, m}_{)⇒ f(m) < f(m}₎

Ordre TOTAL Fiable Il existe une fonction d’estampillage f telle que, si un processus q re¸coit un

message m et f (m) < f (m), alors q re¸coit ´egalement m. Formellement :

Pour de tels protocoles, on est amen´e `a distinguer d’une part l’´ev´enement de r´eception du message par le noeud et d’autre part, la d´elivrance effective du message au niveau applicatif. On doit donc associer un ´

ev´enement de d´elivrance d_m`a tout message m. Si on cherche `a respecter l’ordre CAUSAL, des messages re¸cus dans l’ordre inverse de leur causalit´e d’´emission doivent ˆetre r´eordonn´es sur le site de r´eception pour ˆetre d´elivr´es dans le bon ordre. La figure 4.17 montre comment un protocole d’ordre causal r´ealise le r´eordonnancement des messages m et m sur le site P₃.

A C B e1 r2 r1 d1 d2 e2 m’ m m’ m

Fig. 4.17 – Protocoles d’ordre CAUSAL

Protocoles d’ordre causal. Coˆuts. Am´eliorations.

Les d´ependances causales sont restitu´ees par les protocoles d’ordre CAUSAL de deux mani`eres diff´erentes :

– par surcharge (piggybacking) : chaque message applicatif est surcharg´e avec les messages qui le pr´ec`edent causalement. A la r´eception d’un message, le protocole effectue l’ordonnancement de tous les messages applicatifs re¸cus et d´elivre les messages en retard en fonction de l’ordre causal, avant de d´elivrer le message courant. De plus, le protocole est amen´e `a rejeter des messages arriv´es en retard (dupliqu´es) et de supprimer des messages contenus dans les messages surcharg´es lorsque ces derniers deviennent inutiles. Le principal inconv´enient de cette approche est l’accroissement de la taille des messages.

– `a l’aide de m´ecanismes `a base de vecteurs ou matrices d’horloges : ces m´ecanismes fournissent des syst`emes de datation qui capturent la causalit´e. La relation causale peut ˆetre captur´ee avec pr´ecision par les horloges vectorielles. Des protocoles de diffusion causale peuvent ˆetre implant´es `

a l’aide de vecteurs d’horloges. N´eanmoins, l’implantation de protocoles causaux point `a point n´ecessitent l’utilisation de matrices d’horloges.

Violations d’ordre causal Etant donn´´ ees les performances des r´eseaux actuels, il est l´egitime de se

poser la question suivante : quand est-ce que les contraintes causales doivent ˆetre corrig´ees ? Autrement dit, quelles sont les situations qui peuvent entraˆıner les violations de l’ordre causal des messages. Deux facteurs principaux conduisent aux incoh´erences d’ordre causal :

1. les asym´etries des latences dans les r´eseaux ; 2. les congestions dans les routeurs interm´ediaires.

La forme la plus courante de violation causale est rencontr´ee dans une situation appel´ee souvent in´egalit´e triangulaire. Cela arrive quand un message passant par un site interm´ediaire arrive plus tˆot `a destination qu’un autre envoy´e directement. Par exemple, dans la figure 4.18, soit X,Y et Z les latences de bout en bout sur les segments AB, BC et respectivement AC. Si Z > X + Y , les messages arrivent sur le site C dans un ordre violant la causalit´e. En effet, la question q, envoy´ee depuis A, arrive sur le site C apr`es la r´eponse r donn´ee par B. Cela est clairement une violation d’ordre causal. De telles situations ont pu ˆetre constat´ees pendant le mois de janvier 2005 [CR06], en consid´erant trois sites aux ´Etats-Unis (A), en Suisse (B) et en Inde (C) : les latences moyennes mesur´ees ´etaient X=160ms, Y =86ms et Z=328ms. De plus, pendant des courtes dur´ees (10% du temps) les latences Z approchaient environ 1755ms, ce qui conduisait `a des incoh´erences causales plus importantes (c-`a-d. 1755-160-86=1509ms).

Les congestions r´eseaux entraˆınent des pertes de messages n´ecessitant ainsi leur retransmission. Consid´erons le cas ´evoqu´e pr´ec´edemment (figure 4.18) et supposons cette fois-ci Z < X + Y . Si q est perdu, alors un protocole fiable demandera sa retransmission. Cela peut conduire `a ce que son d´elai de bout en bout (calcul´e depuis son premier envoi) d´epasse X + Y et donc, que q arrive apr`es r. On voit ainsi apparaˆıtre de nouveau (juste pour le message q) l’in´egalit´e triangulaire.

A C B , r r r X q q Z Y q

Fig. 4.18 – In´egalit´e triangulaire

Coˆuts des protocoles causaux Les situations d’in´egalit´e triangulaire, de courte ou longue dur´ee,

montrent un premier point faible des protocoles causaux : des latences variables et surtout, non-

born´ees. La variabilit´e des latences (la gigue) est un aspect sensible dans les applications multim´edia

et doit ˆetre pris en compte dans une d´elivrance causale adapt´ee.

Le deuxi`eme point faible est li´e `a la surcharge de la bande passante due `a la taille de l’information de contrˆole causale (par exemple horloges vectorielles ou matricielles). La quantit´e d’information de contrˆole pour assurer la d´elivrance causale au sein d’un groupe de n membres est Θ(n) [SBS91].

Am´eliorations Les recherches visant `a r´eduire les coˆuts des protocoles causaux peuvent ˆetre group´ees

selon le param`etre am´elior´e :

– D´elai Dans [RS97], les auteurs introduisent le concept de causalit´e suffisante/partielle (sufficient

causal ordering/partial causal ordering) en divisant les ´ev´enements en deux classes : causally sup- portive (pouvant induire la causalit´e) and non causally supportive (n’entraˆınant pas la causalit´e). L’id´ee consiste `a imposer la causalit´e juste parmi certains ´ev´enements, sp´ecifi´es par le niveau applicatif. La possibilit´e de rompre les d´ependances causales entre certains flux d’´ev´enements non- corr´el´es offre une meilleure solution en termes de d´elais r´eseau ainsi que de changement d’´echelle. Koch et al. proposent un protocole d’ordre causal qui assure des d´elais minimum de d´elivrance sous l’hypoth`ese des horloges synchronis´es et de la connaissance des latences minimales entre tout couple de deux sites [KMS98]. Vis-`a-vis des approches passives d’ordonnancement causal (passive message ordering), une approche innovatrice, appel´ee ”adaptive message scheduling” est d´ecrite dans [HYC04]. Elle consiste `a planifier les latences chez l’´emetteur afin d’all´eger le d´esordre pos- sible (et donc, la tˆache et le d´elai d’ordonnancement) chez les r´ecepteurs.

– Bande passante Hernandez et al. [HFD04] ont classifi´e les protocoles causaux visant `a r´eduire l’information de contrˆole en protocoles sym´etriques et assym´etriques.

– Protocoles sym´etriques Dans cette cat´egorie, il n’existe aucune hypoth`ese quant `a la struc- ture du groupe ni `a la structure topologique du r´eseau. Un des premiers protocoles dans cette cat´egorie, d´ecrit dans [PBS89], est bas´e sur la notion de ”graphe du contexte” (context graph). Ce dernier est un graphe acyclique repr´esentant la causalit´e entre messages : les noeuds cor- respondent aux messages et les arcs aux d´ependances causales. En utilisant la transitivit´e de la relation de pr´ec´edence causale, le but est de trouver le graphe r´eduit pouvant repr´esenter la causalit´e `a travers juste les d´ependances imm´ediates (entre deux noeuds successifs). Cette cat´egorie inclut le protocole propos´e par Kshemkalyani et Singhal en [KS98b]. Ce protocole at- tache `a chaque message l’information de contrˆole concernant tous les messages pour lesquels il n’existe pas encore la garantie d’ˆetre d´elivr´es de mani`ere causale ou qui ne sont pas encore d´elivr´es. Un autre exemple est le protocole d´ecrit en [SBS91] bas´e sur les horloges vectorielles. Les auteurs proposent une compression des vecteurs de causalit´e en envoyant seulement les po- sitions dont les valeurs ont chang´e depuis la derni`ere diffusion du processus ´emetteur. Enfin, un dernier exemple [PRS97] utilise la ”relation de d´ependance imm´ediate” (immediate dependency relation - IDR) pour r´eduire l’information de contrˆole : un message m transporte seulement les d´ependances causales vis-`a-vis des messages dont il d´epend directement. Une ´etude d´etaill´ee de la cette relation est d´ecrite en [HFD04] o`u les auteurs proposent une extension de l’IDR ainsi qu’un protocole causal optimal en terme d’information de contrˆole attach´ee `a chaque message. – Protocoles assym´etriques Les travaux dans cette cat´egorie utilisent des hypoth`eses suppl´ementaires

– la topologie du r´eseau : Rodrigues et Verisismo [VR95] utilisent des s´eparateurs causaux comme barri`eres pour filtrer l’information concernant les messages envoy´es `a tous les membres d’une r´egion de causalit´e (un ensemble de participants d´elimit´es par un ou plusieurs s´eparateurs causaux). Au sein d’une r´egion causale, l’information de contrˆole n’est pas envoy´ee au-del`a de ses fronti`eres. La communication entre diff´erentes r´egions se r´ealise `a travers des serveurs de rediffusion pr´ed´etermin´es.

– la structure de groupe : Baldoni et al. [RRR99] divisent les participants en groupes logiques locaux et utilisent des serveurs causaux pour diss´eminer les messages `a travers ces groupes. Cela r´eduit la quantit´e d’information de contrˆole `a la taille d’un groupe local.

– le mod`ele d’ex´ecution : Mostefaoui et al [MR93] proposent un mod`ele d’ex´ecution synchrone dans lequel la diffusion de messages se r´ealise en plusieurs ´etapes. A chaque ´etape, tous les participants diffusent un et un seul message. Une nouvelle ´etape commence alors lorsque tous les messages issus de l’´etape ant´erieure sont d´elivr´es.

Les points faibles de la plupart des protocoles assym´etriques r´esident dans le d´elai suppl´ementaire dˆu aux serveurs de rediffusion ou aux mod`eles d’ex´ecution choisis, ainsi que dans leur complexit´e et leurs structures de synchronisation.

Adaptations aux contraintes temps-r´eel. Δ-Causalit´e

La notion de causalit´e peut ˆetre trop forte pour les applications multim´edia. Si le syst`eme de commu- nication ne garantit pas de d´elai de transmission, la d´elivrance d’un message peut ´eventuellement ˆetre retard´ee pendant une dur´ee arbitrairement grande, en attente de messages causalement ant´erieurs. Or, dans les applications multim´edia, un message peut cesser d’ˆetre significatif au bout d’un certain temps (sa dur´ee de vie est limit´ee). D’o`u l’utilit´e de la Δ-causalit´e qui vise `a respecter l’ordre causal tout en prenant en compte le temps de validit´e des messages. Par cons´equent, les conditions de d´ependance de livraison des messages sont appliqu´ees seulement dans un intervalle de temps limit´e.

La notion de Δ-causalit´e a ´et´e introduite dans [Yav92] et a ´et´e raffin´ee et formalis´ee dans [BMR96]. Il s’agit d’une restriction du principe de causalit´e lors des communications non fiables `a ´ech´eances tem- porelles comme celles r´ealis´ees dans les applications multim´edia. Les messages deviennent inutiles s’ils arrivent `a destination apr`es un d´elai d’expiration Δ.

Plus pr´ecis´ement, un calcul r´eparti respecte l’ordre Δ-causal si :

– un message ´emis `a t est d´elivr´e avant t + Δ ou rejet´e (arriv´e trop tard) ou perdu ; – toute d´elivrance respecte l’ordre causal :

pour tous messages m et mre¸cus sur un site s avant leur date d’expiration tels que les ´ev´enements d’´emission emet em sont causalement li´es (e_m≺ e_m), le site s doit d´elivrer m avant m.

m1 m2 m3 P2 P1 P3 m1 Δ m2 Δ m3 Δ buffering P2 P1 P3 buffering Δ Δ Δ receive

send deliver discard

Fig. 4.19 – Exemples d’ex´ecutions satisfaisant la Δ-causalit´e

On peut noter que la Δ-causalit´e se r´eduit `a la d´efinition classique de la causalit´e si les communications sont fiables et Δ est sup´erieur au d´elai de transmission de n’importe quel message. Nous pouvons ainsi remplacer le temps physique par le temps logique et utiliser des protocoles causaux classiques. De plus,

Δ peut ˆetre vu comme un param`etre d’ajustement (bouton de r´eglage) sur le nombre de messages rejet´es en assurant la causalit´e des d´elivrances. La figure 4.19 montre deux ´echanges de messages. Dans les deux cas, la Δ-causalit´e est respect´ee. Lors du premier ´echange, le message m<sub>1</sub> arrive trop tard sur le site P<sub>3</sub> et est rejet´e. Lors du deuxi`eme ´echange, le message m₃ arrive trop tˆot et est d´elivr´e juste apr`es la d´elivrance de m₁ qui s’effectue avant l’expiration de m₃.

La mise en oeuvre de la Δ-causalit´e passe par l’utilisation d’un m´ecanisme de synchronisation d’hor- loges. De nombreux protocoles de synchronisation d’horloges ont ´et´e propos´es dans la litt´erature. La d´erive qu’il est possible d’obtenir est petite (de l’ordre de quelques millisecondes) par rapport `a la valeur de Δ, qui est de l’ordre de quelques centaines de millisecondes.

Adaptation. Variantes. Une approche adaptative de la Δ-causalit´e est propos´ee en [IT03] : la valeur

de Δ est ajust´ee pour trouver le bon compromis entre taux de perte et int´eractivit´e. Ainsi, Δ est graduellement augment´e si les conditions r´eseau se d´egradent pour r´eduire le nombre de messages rejet´es (car arriv´es trop tard). Au contraire, en cas d’am´elioration Δ est baiss´e permettant ainsi une meilleure int´eractivit´e. Les auteurs ´etudient aussi les probl`emes d’incoh´erence causale qui peuvent survenir lors des changements de Δ. N´eanmoins, si les changements sont faibles les possibles violations causales sont n´egligeables.

Le principe de Δ-causalit´e a connu quelques extensions dont nous pr´esentons les principales. Pour les contextes r´eseau fortement h´et´erog`enes (d´elai, taux de perte, etc.), Tachikawa et al. [TT97] proposent de choisir un param`etre{Δ_ij} pour chaque paire de participants {i, j}. Les auteurs d´efinissent ainsi la Δ∗- causalit´e comme l’ensemble{Δ_ij}. Ils montrent que l’ordre Δ∗ induit est consistent si Δ_ij+ Δ_jk≥ Δ_ik pour tous les participants i, j et k. Un protocole adaptatif permettant d’ajuster dynamiquement Δ∗ est aussi propos´e.

Fig. 4.20 – Exemple d’ex´ecution VDelta (Virtually Ordered Delta Causality)

Une extension de la causalit´e classique inspir´ee par la Δ-causalit´e, est pr´esent´ee en [LKD+04]. Les auteurs d´efinissent deux intervalles : receiveΔ et sendΔ, le premier servant `a limiter (tout comme la Δ-causalit´e) l’attente des messages d´ej`a re¸cus, le second r´eduisant l’information de contrˆole grˆace `a une fenˆetre temporelle sur laquelle la causalit´e est captur´ee (figure 4.20). A la diff´erence de la Δ-causalit´e, cette approche n’est pas sensible aux d´esynchronisations des horloges.