标签: 分布式一致性

  • 深入 Raft 幽灵节点排查:单向网络隔离引发的 Term 飞涨与 PreVote 拦截实战

    排查自研分布式 KV(基于 go.etcd.io/etcd/raft/v3 v3.5.0)频繁无故切换 Leader 导致 QPS 跌零时发现,单向网络隔离会导致“幽灵节点”无法接收心跳,从而不断自增 Term 发起选举。高版本 Term 的投票请求会穿透隔离,强制合法 Leader 降级引发选举风暴。核心解法是全量开启 Raft PreVote(预投票)机制,并在配合 CheckQuorum,在自增 Term 前验证网络连通性,从协议层阻断脑裂假象。

    0x00 故障现场:毫无征兆的 Leader Flapping

    排查过程中,监控面板上出现了一个极为诡异的现象:集群整体流量不高,CPU/内存均无压力,但 API Server 报出大量 503 Service Unavailable

    调出 Prometheus 监控,发现两个核心指标极度异常:

    1. Leader 切换频繁: rate(raft_leader_changes_total[1m]) 出现规律性尖刺。

    2. Term 飞涨: 集群的 raft_term 指标像脱缰的野马,短时间内从 142 飙升到了 15403

    拉取当前 Leader(节点 A)的核心报错日志,发现其被强制逼退:

    {"level":"info","ts":"...","caller":"raft/raft.go:1004","msg":"[raft] node A stepped down to follower since error or received message with higher term","term":15403}
    

    紧接着,节点 A 重新发起选举,拿回 Leader 身份,但没过几秒,再次被逼退。整个集群陷入了无休止的“选举-当选-被逼退”的死亡循环中,此时 I/O 停滞,业务读写全被阻塞。

    0x01 定位元凶:单向网络隔离引发的“毒药”

    顺着日志,我将目光锁定在节点 C。节点 C 一直处于 Follower 状态,但它的 raft_term 却是全场最高的。

    登录节点 C 宿主机,通过 tcpdump 抓包分析发现了一个典型的单向网络隔离(One-way Partition)现象:

    # 在节点 C 上抓取与节点 A (Leader) 的 Raft 通信
    tcpdump -i eth0 host <Node_A_IP> and port 2380 -nn -vv
    

    抓包结果显示:节点 C 能向外发送数据包,但接收不到任何来自节点 A 的数据包。 检查网络层发现,是某次变更不慎在节点 A 所在宿主机的 iptables 的 OUTPUT 链中,针对节点 C 的 IP 配置了 DROP

    协议教科书里往往假设网络是完全断开的双向隔离,但在实际物理机房中,非对称路由、交换机单播风暴拦截、iptables 误配引发的单向隔离才是最致命的毒药。

    0x02 为什么单向网络隔离会引发全局选举风暴?

    在标准 Raft 协议中,一切以 Term(任期)为尊。单向隔离彻底击穿了标准 Raft 的防线,其演变过程如下:

    1. 心跳超时与 Term 膨胀: Leader A 正常发送心跳(MsgHeartbeat),但节点 C 收不到。节点 C 的选举定时器超时,根据协议,它将自身转为 Candidate,Term 加 1(变为 143),并向全网广播 MsgVote

    2. 毒药广播: 因为是单向隔离,节点 C 的 MsgVote 成功发送到了 A 和 B。

    3. 强制降级: Leader A 收到节点 C 的 MsgVote,虽然节点 C 的日志可能不是最新的,但 Raft 的强规则是:一旦收到 Term 大于自身当前 Term 的消息,当前节点必须无条件转为 Follower 并更新自己的 Term

    4. 无法当选与死循环: A 降级后集群无 Leader,开始新一轮选举。A 和 B 互相通信,A 重新当选(Term=144)。但节点 C 依然收不到心跳,再次超时,Term 变为 145,再次发送 MsgVote 逼退 A。

    节点 C 就像一个幽灵,自己永远无法当选(因为收不到其他节点的投票响应),但却能通过不断自增的 Term 作为“毒药”,把正常运行的 Leader 拉下马。

    0x03 PreVote 源码剖析:在拔剑前先确认身份

    为了解决这个标准 Raft 的缺陷,etcd/raft 引入了 PreVote(预投票)机制。其核心思想非常克制:在正式增加 Term 之前,先发起一次模拟投票;只有在确保自己能获得多数派选票时,才真正增加 Term 发起正式选举。

    翻开 go.etcd.io/etcd/raft/v3 的底层源码(raft.go),我们可以看到状态切换的区别:

    // tickElection 在选举超时后被调用
    func (r *raft) tickElection() {
        // ... 
        if r.preVote {
            // 开启了 PreVote:先进入 PreCandidate 状态,不增加 Term
            r.Step(pb.Message{From: r.id, Type: pb.MsgHup})
        } else {
            // 未开启 PreVote:直接进入 Candidate 状态,Term + 1 (危险行为)
            r.campaign(campaignElection)
        }
    }
    
    func (r *raft) campaign(t CampaignType) {
        // ...
        if t == campaignPreElection {
            r.becomePreCandidate() // 注意:这里调用后,r.Term 不会增加
            voteMsg = pb.MsgPreVote
        } else {
            r.becomeCandidate()    // 这里调用后,r.Term 会 +1
            voteMsg = pb.MsgVote
        }
        // 发送投票请求
        for _, id := range r.prs.Voters.IDs() {
            if id == r.id { continue }
            r.send(pb.Message{Term: term, To: id, Type: voteMsg, ...})
        }
    }
    

    PreVote 拦截的精妙之处在于其他节点的响应逻辑: 当正常节点 A(Leader)收到节点 C 的 MsgPreVote 时,因为 MsgPreVote 携带的是节点 C 当前的 Term(并没有加1),A 会判断自己当前仍然是合法的 Leader(未过 Lease 期/选举超时时间),因此会直接拒绝给节点 C 投预选票。 节点 C 拿不到多数派的预选票,就永远无法进入 Candidate 状态,Term 也永远不会增加,集群脑裂假象被彻底扼杀。

    0x04 落地实战:防御性架构的配置规范

    在自研系统的 Raft 引擎初始化阶段,必须强制开启 PreVoteCheckQuorum。这两个配置是高可用集群的“左右护法”。

    import "go.etcd.io/etcd/raft/v3"
    
    func newRaftNode(id uint64, peers []raft.Peer, storage *raft.MemoryStorage) raft.Node {
        config := &raft.Config{
            ID:                        id,
            ElectionTick:              10,
            HeartbeatTick:             1,
            Storage:                   storage,
            MaxSizePerMsg:             1024 * 1024,
            MaxInflightMsgs:           256,
    
            // 【防御性配置一】强制开启 PreVote 拦截网络孤岛引发的 Term 飞涨
            PreVote:                   true,
    
            // 【防御性配置二】强制开启 CheckQuorum
            // 允许 Leader 周期性检查自己是否仍然能连接到多数派,
            // 如果不能,Leader 会主动 stepDown,防止出现双 Leader 假象下的脏读
            CheckQuorum:               true, 
        }
    
        // 启动 Raft 状态机
        return raft.StartNode(config, peers)
    }
    

    配置下发并滚动重启集群后,我们再次通过 iptables 模拟针对单节点的网络隔离。 监控显示:被隔离的节点后台会不断发起 MsgPreVote,但被存活节点拒绝。主集群的 Leader 坚如磐石,raft_term 曲线保持绝对平稳,业务 QPS 0 抖动。

    0x05 常见问题 (Q&A)

    Q1:开启 PreVote 后,如果真实的 Leader 发生硬件宕机,选举耗时会变长吗? 会增加一次 RPC 往返(RTT)的耗时。因为候选者需要先走完 PreElection 阶段,拿到预选票后,再走正式的 Election 阶段。但在同城机房内,一次 RTT 通常在 1ms 以内,相比于默认 1000ms 的选举超时(Election Timeout),这点延迟对可用性的影响微乎其微,换来的却是极高的系统稳定性。

    Q2:如果网络完全断开(双向隔离),PreVote 还能发挥作用吗? 能。在双向隔离中,孤岛节点发不出预投票,自己也会一直处于 Follower/PreCandidate 状态,Term 不会增加。当网络恢复后,它重新接入集群时,其 Term 与主集群一致,通过正常的 MsgApp (AppendEntries) 就能无缝对齐日志,不会对现有 Leader 造成任何冲击。

    Q3:为什么不单纯依靠调大 Election Timeout 来规避网络抖动带来的频繁选举? 单纯调大 Election Timeout 是一种掩耳盗铃的做法。它确实能掩盖短暂的网络抖动,但代价是极大地延长了真实故障发生时的 MTTR(平均恢复时间)。发生真实物理宕机时,集群需要等待漫长的 Timeout 才会开始重选 Leader,这段时间内业务是完全不可用的。Raft 的调优原则是:用协议本身的严谨性(PreVote)去解决逻辑问题,而不是用粗暴的延迟(增大 Timeout)去掩盖问题。

  • 深入 Etcd Raft 选举雪崩排查:WAL 慢写入阻塞心跳引发的频繁切主与 Pre-Vote 防御实战

    Etcd 集群频繁无故切主(Leader Election),99线剧烈抖动。根本原因是底层存储 WAL 刷盘(fsync)延迟毛刺阻塞了 Raft 状态机主循环,导致 Leader 无法按时发送心跳。解决思路是物理隔离 WAL 磁盘、对齐 election-timeout 与磁盘 P99 延迟,并确保 Raft 的 Pre-Vote 机制正常运作,以抵御网络/IO抖动引发的 Term 暴涨与破坏性重选。

    排查过程中,我们接到了某核心 Kubernetes 集群的 APIServer 延迟告警。Prometheus 监控显示,Etcd 集群的 etcd_server_leader_changes_seen_total 指标在短时间内激增,同时读写请求的 P99 延迟从稳定的 15ms 飙升至 2s 以上。

    登录其中一台 Etcd 节点(版本 v3.5.4),提取核心报错日志如下:

    {"level":"warn","ts":"...","caller":"etcdserver/server.go:2043","msg":"failed to send out heartbeat on time","issue":"datadir is working slowly","expected-duration":"100ms","heartbeat-interval":"100ms"}
    {"level":"warn","ts":"...","caller":"etcdserver/server.go:2057","msg":"server is likely overloaded","heartbeat-interval":"100ms"}
    {"level":"info","ts":"...","caller":"raft/raft.go:853","msg":"8a3f8b... is starting a new election at term 512"}
    

    日志直指痛点:心跳发送超时,触发了新的选举。很多工程师看到这里会下意识去排查网络抖动,但真正的凶手往往藏在磁盘 IO 调度里。

    为什么 WAL 刷盘延迟会导致 Raft 心跳丢失?

    要理解这个现象,必须剥开 Etcd 中 Raft 工程实现的底层逻辑。

    在理论模型中,Raft 的心跳发送和日志持久化是并行的概念。但在 Etcd 的工程代码实现中(基于 HashiCorp Raft 也有类似考量),出于状态机一致性的严格保证,核心处理逻辑被收敛在了一个单goroutine的循环中。

    Etcd 的 Raft 节点通过通道(Channel)暴露一个 Ready 结构体,应用层(Etcd Server)在一个死循环中消费这个 Ready

    // 简化后的 etcd raft 消费逻辑
    for {
        select {
        case rd := <-r.Ready():
            // 1. 将 HardState 和 Entries 写入 WAL 并执行 fsync
            if !isReadyEmpty(rd) {
                r.storage.Save(rd.HardState, rd.Entries)
            }
    
            // 2. 将消息(包含心跳 MsgHeartbeat)发送给网络层发给 Followers
            r.transport.Send(rd.Messages)
    
            // 3. 将已提交的日志应用到状态机(boltdb)
            if len(rd.CommittedEntries) > 0 {
                r.applyAll(&rd.CommittedEntries)
            }
    
            r.Advance()
        }
    }
    

    注意上述步骤的严格顺序:必须先完成 WAL 的落盘(Save),然后才会将网络消息(Send)发出去

    当底层磁盘(如混部环境的云盘或机械硬盘)发生 IO 争用时,Save 阶段底层的 fdatasync 系统调用会阻塞。如果阻塞时间超过了心跳间隔(默认 heartbeat-interval=100ms),步骤2的心跳就无法发出。 此时,Followers 的选举计时器(默认 election-timeout=1000ms)没有收到心跳重置,倒计时归零后,Follower 就会判定 Leader 死亡,自增 Term(任期号)并发起选举。这就是所谓的“WAL 慢写入引发的雪崩”。

    破坏性重选与 Pre-Vote 机制的防御边界

    处理完磁盘 IO 问题后,我们还需要防范另一个由网络分区引发的 Raft 经典工程边界案例:Term 暴涨(Term Inflation)

    假设集群有 A(Leader)、B、C 三个节点。B 节点发生了非对称网络隔离(收不到 A 的心跳,但能发包给 A 和 C)。

    1. B 的选举超时触发,自增 Term(例如从 5 变成 6),转为 Candidate 并发起选举。

    2. 因为网络隔离,B 收不到选票,再次超时,Term 变成 7、8、9… 狂飙。

    3. 网络恢复后,B 带着巨大的 Term (例如 100) 重新加入集群。

    4. Raft 原理规定:任何节点收到比自己大的 Term,必须立即降级为 Follower。A 节点虽然运转正常,但看到 B 的 Term 是 100,只能含泪下台。集群被迫重新选举,导致全局业务中断。

    为了防御这种“破坏性重选”,Etcd 引入了 Raft 的 Pre-Vote 扩展机制。

    在 Pre-Vote 机制下,状态跃迁增加了一个 PreCandidate 阶段:

    • 当 Follower 选举超时,它不会立刻自增 Term,而是保持当前 Term 发送 MsgPreVote 预投票请求。

    • 其他节点收到预投票请求后,会检查自身状态。如果当前仍在 Leader 的租约期内(最近刚收到过合法心跳),则拒绝预投票。

    • 只有当发起者收到了多数派的预投票赞成响应时,它才确信“不仅是我,大家也都认为 Leader 挂了”,此时它才会自增 Term 并正式发起选举。

    排查建议: 检查集群配置,虽然较高版本的 Etcd(3.4+)已经默认启用了 Pre-Vote,但部分老旧系统或定制系统可能被错误关闭。确保不要干预源码中的 raft.Config.PreVote = true

    生产级防御落地与参数调优

    知道了原理,防范这种雪崩的实战落地就非常明确了:解耦 IO、对齐超时时间。

    1. 物理隔离与文件系统调优

    绝对不要把 Etcd 的 data-dir 放在系统的根目录下,更不要与其他高 IO 服务(如 Prometheus、数据库)混部。 将 WAL 目录独立挂载到专用的 NVMe SSD 上。

    # 挂载参数防御性优化(避免元数据更新带来额外开销,保障 fsync 极速)
    # 注意:不能禁用 barrier,否则掉电会损坏 WAL
    mount -o rw,noatime,nodiratime,barrier=1 /dev/nvme0n1 /var/lib/etcd/wal
    

    2. 核心 Raft 超时参数对齐

    不要盲从官方的默认值(100ms/1000ms)。这套默认值是给极低延迟的千兆局域网+企业级SSD准备的。如果你在云环境或跨可用区部署,必须根据底层存储的 99 线延迟来调优。

    通过 Prometheus 观测 etcd_disk_wal_fsync_duration_seconds_bucket,假设你的 99% fsync 延迟在 150ms 左右:

    # 建议配置公式:
    # heartbeat-interval = Max(100ms, P99 fsync latency + 50ms)
    # election-timeout = 10 * heartbeat-interval
    
    --heartbeat-interval=250
    --election-timeout=2500
    

    修改后,Leader 容忍偶尔的 fsync 毛刺,Followers 也愿意多等一会儿,极大地平息了无意义的 Leader 震荡。

    3. I/O 优先级控制 (ionice)

    在资源竞争不可避免的环境中,可以通过内核层面的 IO 调度器保障 Etcd 的优先级。利用 ionice 将 Etcd 进程设置为实时级别(Real Time):

    # 针对已运行的 etcd 进程 PID
    ionice -c 1 -n 0 -p $(pidof etcd)
    

    注:-c 1 为实时调度类,-n 0 为最高优先级。这需要系统使用 CFQ 或 BFQ 调度器,现代 blk-mq 环境下通常配合 cgroups v2 的 io controller 实现。

    常见问题

    Q1:调大 election-timeout 会带来什么副作用? 故障发现延迟变大。如果 Leader 节点真的发生物理宕机(比如断电),集群需要等待完整的 election-timeout 才能开始选举。在此期间,所有的写入请求都会因为找不到 Leader 而超时失败。因此这是一个权衡:容忍更多的毛刺,就要接受更长的真故障恢复时间。

    Q2:网络分区发生时,Raft 真的能保证不脑裂吗? 只要你的应用是通过标准的 Raft 读写接口(Linearizable Read)访问数据,绝对不会脑裂。因为少数派所在的分区由于无法获得超过半数节点的响应,既选不出新 Leader,也无法提交任何日志。所有试图写入少数派分区的请求都会一直阻塞或返回超时。

    Q3:为什么启用了 Pre-Vote 机制,我的集群遇到 IO 毛刺还是会触发重新选举? Pre-Vote 防御的是“网络隔离导致的异常节点 Term 暴涨归来夺权”的问题,它防不住“Leader IO 阻塞引发的合法易主”。 当 Leader 的 IO 卡住发不出心跳,Followers 是真心认为 Leader 死了(因为都没有收到心跳)。此时某个 Follower 发起 Pre-Vote,其他节点由于也没收到心跳,会投赞成票。于是 Pre-Vote 通过,正常选举发生,Leader 发生切换。 要解决 IO 毛刺导致的切主,只能通过优化磁盘性能或调大超时参数解决。

  • 异地多活网关雪崩实战:5 秒配置同步延迟引发的跨城路由死环与 Envoy 线程耗尽

    近期排查了一起极其典型的“异地多活”架构翻车事故。某业务在做全链路压测与流量切流演练时,双中心网关集群在 10 秒内接连雪崩,P99 延迟从 15ms 直接飙升至网关超时上限(10s),最终导致两个可用区同时瘫痪。

    结论先行:这不是什么深奥的底层 Bug,而是一个极其低级的架构设计缺陷。控制面在下发“单元化路由规则(UID -> AZ)”时存在跨城同步延迟。在这短短 5 秒的数据不一致窗口期内,AZ-A 认为请求该去 AZ-B,而 AZ-B 还在使用旧规则认为请求该回 AZ-A。网关层完全没有做防环处理(Loop Detection),导致请求在两地专线间无限次 Ping-Pong 转发,瞬间打爆了 Envoy 的连接池和跨城专线带宽。

    伪多活架构的遮羞布,就这样被区区 5 秒的延迟扯得粉碎。

    故障现场:从 P99 飙升到全局 502

    排查过程中,监控面板的异动非常诡异:

    1. 外部流量未突增:入口 QPS 正常,没有遭受 DDoS 攻击。

    2. 专线带宽被打满:两地机房之间的 10G 专线监控显示,出入带宽在几秒内呈直线上升至 100%。

    3. 网关层资源枯竭:Envoy 节点的 CPU Load Average 飙升至 80+,envoy_cluster_upstream_rq_pending_overflow 指标疯狂报错。

    4. 后端业务毫无波澜:底层的微服务和 DB 监控一片祥和,甚至 QPS 还下降了——因为流量全死在网关了。

    直接拉取 Envoy 的 Access Log,发现令人窒息的现象,同一个 x-request-id 在同一秒内出现了数百次日志打印:

    {"time": "...", "x-request-id": "a7b2c9-...", "upstream_cluster": "outbound|80||gateway-az-b", "response_code": "504"}
    {"time": "...", "x-request-id": "a7b2c9-...", "upstream_cluster": "outbound|80||gateway-az-b", "response_code": "504"}
    

    而在 AZ-B 的网关日志里,同样的 Request ID 正在被疯狂转发回 AZ-A。

    根因拆解:分布式的“阿喀琉斯之踵”

    该业务号称实现了“异地双活”,其实质是经典的单元化架构(Cell-based Architecture)。路由规则按用户 UID 取模或查表分配:UID_Range_1 在 AZ-A 闭环,UID_Range_2 在 AZ-B 闭环。如果用户访问错了机房,入口网关会负责将其 Proxy 到正确的机房。

    演练时,运维执行了 UID 搬迁操作:将某一批 UID 从 AZ-A 迁移至 AZ-B。 正常的迁移状态机应该是:禁止写入 -> 数据同步 -> 变更路由规则 -> 开放写入

    问题出在路由规则下发环节。全局控制面(Global Control Plane)将新的路由表通过 xDS 下发给两地的 Envoy 集群。 由于跨城网络抖动和底层配置中心的同步机制,AZ-A 的网关瞬间收到了新规则,而 AZ-B 的网关存在约 5 秒的同步延迟。

    这 5 秒内,逻辑变成了这样:

    1. 用户流量进入 AZ-A。

    2. AZ-A 网关查最新路由表:“该 UID 已迁至 AZ-B”,于是将请求通过专线转发给 AZ-B 的网关。

    3. 请求抵达 AZ-B。AZ-B 网关查旧路由表:“该 UID 属于 AZ-A”,于是将请求再转发回 AZ-A 的网关。

    4. AZ-A 再次收到请求,再次转发给 AZ-B……

    一次简单的 HTTP 请求,在没有 Max-Forwards 限制的情况下,变成了跨城专线上的死循环。几千个这样的请求,瞬间裂变成数百万次的内部 RPC 调用,直接击穿 Envoy 的 max_connectionsmax_pending_requests 限制,导致网关假死,进而引发全量业务 502。

    为什么犯错不可原谅?

    真正的多活,不仅是画在 PPT 上的两套对等集群,而是骨子里对分布式系统“弱一致性”的敬畏。 CAP 定理早就告诉我们,跨越 WAN 网络的节点,绝对不可能实现原子的状态变更。只要存在时间差,就一定会出现路由视角的不一致。

    在架构设计时,不假设“配置下发绝对同时生效”,而是假设“一定会出现路由环路并进行兜底拦截”,这叫防御性编程。花了几百万拉跨城专线,却连一个最基础的 Hop Limit 都不加,这种架构翻车纯属人祸。

    止血与防御性修复

    当时在现场的紧急止血操作非常粗暴:直接切断了 AZ-A 到 AZ-B 的专线路由转发(牺牲跨城纠错能力,强行阻断环路),网关雪崩立刻停止。随后紧急排查控制面同步组件并修复延迟。

    彻底的修复方案(防环机制落地):

    1. 网关层强制拦截:引入 Max-Forwards 机制 无论使用 Nginx 还是 Envoy,在进行跨机房流量 Proxy 时,必须注入并校验自定义 Header(如 X-Multi-Active-Hop)。在 Envoy 中,可以通过原生机制或极简的 Lua Filter 实现:

    # Envoy Lua Filter 防环片段
    name: envoy.filters.http.lua
    typed_config:
      "@type": type.googleapis.com/envoy.extensions.filters.http.lua.v3.Lua
      inline_code: |
        function envoy_on_request(request_handle)
          local hop_count = tonumber(request_handle:headers():get("x-multi-active-hop") or "0")
          if hop_count >= 2 then
            request_handle:respond({[":status"] = "508"}, "Loop Detected in Multi-Active Routing")
            return
          end
          request_handle:headers():replace("x-multi-active-hop", tostring(hop_count + 1))
        end
    

    2. 路由变更状态机:平滑过渡 不要做“一刀切”的路由变更。UID 迁移的路由切换必须存在中间态(Transit State)。 当 UID 正在迁移时,路由状态设为 MIGRATING,此时新旧机房的网关对该 UID 的请求应统一 Hold 住(挂起等待)或降级处理,直到两端均确认收到最新配置(ACK)后,再将状态切为 COMMITTED 放行。

    3. 隔离爆炸半径 为跨城 Proxy 流量配置独立的 Cluster 和 Connection Pool,绝对不能与处理本地域内流量的线程池混用。这样即使专线打满或跨城目标假死,本地域内的“正确流量”依然不受影响。

    同类问题速查(排查清单)

    1. 跨城/跨 AZ 路由环路检测:检查所有跨域转发是否携带并校验了 X-Forwarded-ForMax-Forwards 或自定义跳数 Header,超过阈值(通常为1或2)必须立即丢弃并返回 508 (Loop Detected)。

    2. 配置中心弱一致性容灾:检查下发控制面(etcd / Consul / 自研 xDS 服务)在脑裂或跨城延迟 > 10s 的情况下,Data Plane 是否能优雅降级,还是会触发雪崩逻辑。

    3. 隔离与限流(Bulkhead):检查网关对于“跨城纠错流量”是否配置了独立的连接池(Connection Pool)和并发数限制(Circuit Breaker),防止小比例的纠错流量耗尽全局 Worker 资源。

    4. UID 状态机原子性:在单元化架构中,检查 UID 归属地切换是否有明确的“过渡态”,严防因配置生效时间差导致的“两地都不认”或“两地互相抛”的脏读问题。