O conforto psicológico de não quebrar o banco de dados duas vezes

Idempotência em bancos relacionais não é apenas uma garantia técnica contra falhas de rede, mas o mecanismo de defesa definitivo contra o desespero de rodar a mesma query em produção e esperar resultados diferentes.

5 min

Existe um medo silencioso e universal na engenharia de software que atinge seu pico exatamente no momento em que você pressiona a tecla de execução para um script de migração de banco de dados diretamente em um ambiente de produção. É apavorante. É aquele instante de pura suspensão da realidade onde você se pergunta se considerou todas as condições de corrida possíveis, se o retry automático do gateway de pagamento não vai acionar aquela mesma inserção antes que a transação principal faça o commit, e se a sua carreira sobreviveria a uma duplicação em massa na tabela de faturamento. Nós fingimos que temos tudo sob controle com nossos testes exaustivos e ambientes espelho. Mas a verdade é mais cruel. Redes falham, conexões caem, o load balancer decide redirecionar o tráfego de maneira agressiva, e de repente o seu código precisa lidar com o próprio passado batendo na porta de novo. A idempotência surge nesse espaço caótico não como uma regra teórica chata de faculdade, mas como um seguro de sanidade mental. A premissa básica é absurda de tão simples. Você deve poder executar a mesma operação uma, dez ou mil vezes seguidas e o resultado no estado final do sistema precisa ser absolutamente idêntico ao da primeira execução bem-sucedida. Se isso soa óbvio para consultas de leitura que não alteram nada, a conversa muda de tom rápido quando começamos a falar sobre mutações de estado em um banco relacional rigoroso como o PostgreSQL.

O comportamento padrão de uma inserção em SQL é ser ingenuamente ignorante em relação à sua própria história. Se você mandar ela gravar o mesmo registro três vezes, ela obedientemente criará três linhas idênticas no banco de dados. Isso, claro, se não houver uma restrição no esquema impedindo a festa. E se houver uma chave primária bloqueando o caminho, o banco simplesmente entra em pânico. Ele joga uma exceção no seu colo, aborta a transação inteira e deixa o sistema em um estado de erro que muitas vezes exige intervenção manual com café frio de madrugada para ser desfeito. É exatamente por isso que depender exclusivamente de restrições de unicidade para manter a consistência dos dados é uma estratégia incrível para gerar dor de cabeça crônica, pois não sobrevive ao primeiro pico de acessos simultâneos de uma sexta-feira de promoção. A abordagem correta exige que a própria instrução de escrita carregue a inteligência necessária para reconhecer que seu trabalho já foi feito anteriormente e que ela pode simplesmente descansar.

A verdadeira resiliência de um sistema distribuído não está em impedir que mensagens duplicadas cheguem ao banco, mas em ensinar o banco a não se importar quando elas inevitavelmente chegarem.

No PostgreSQL, isso se traduz no uso elegante do conflito condicional através de comandos como ON CONFLICT DO NOTHING ou ON CONFLICT DO UPDATE. Você permite que a aplicação diga ao banco de dados para inserir um novo registro, mas se por acaso descobrir que a chave primária já está ocupada, que não faça nada ou então atualize os dados existentes com as informações mais recentes. Isso transforma uma falha catastrófica de integridade em uma operação suave de ignorância benigna. Muda completamente o jogo. E não para por aí, porque as instruções de criação de esquema seguem o mesmo raciocínio defensivo com o uso mágico do IF NOT EXISTS ao criar tabelas, colunas ou papéis de acesso, evitando que um deploy rodado duas vezes pelo CI/CD destrua a esteira inteira por causa de um erro de redundância.

Confesso que levei muito tempo para aceitar a necessidade de escrever operações de atualização e exclusão com o mesmo rigor defensivo, muitas vezes me pegando em debates internos intermináveis sobre a perda de desempenho marginal causada por verificações extras que pareciam desnecessárias em noventa e nove por cento do tempo. Minha intuição insistia que a aplicação é quem deveria garantir a não-repetição de comandos. Eu estava redondamente enganado. A infraestrutura em nuvem me ensinou a duras penas que a aplicação nunca está perfeitamente correta sob estresse. Quando você escreve uma exclusão e ela roda duas vezes porque um evento na fila de mensagens sofreu um atraso bizarro e foi reprocessado silenciosamente pela arquitetura de retentativas, a primeira execução deleta o dado e a segunda encontra o vazio, o que pode causar efeitos em cascata se o seu código espera um número exato de linhas afetadas. O verdadeiro poder de dominar a idempotência no seu código SQL é que você para de tratar o banco de dados como um arquivo de texto glorificado que aceita comandos cegos e passa a desenhar operações que são autoconscientes sobre seu papel dentro de uma arquitetura resiliente. Saber que seu script de migração pode ser acidentalmente executado em loop por um estagiário com muito sono sem alterar o estado consolidado da produção é o único tipo de paz de espírito que realmente importa na nossa profissão.

Gostou deste conteúdo?

Este blog é um projeto pessoal mantido com dedicação. Se meus artigos te ajudaram, considere apoiar a continuidade deste trabalho.

Ko-Fi Buy Me a Coffee 🛡️ Patreon
Entrar em contato por e-mail
Acompanhe via RSS Feed