Eric Brewer’s CAP-denken: waarom gedistribueerde systemen afwegen

Waarom CAP hét mentale model werd

Als je dezelfde data op meer dan één machine opslaat, win je snelheid en fouttolerantie—maar je krijgt ook een nieuw probleem: oneensheid. Twee servers kunnen verschillende updates ontvangen, berichten kunnen te laat of helemaal niet aankomen, en gebruikers kunnen verschillende antwoorden zien afhankelijk van welke replica ze raken. CAP werd populair omdat het ontwikkelaars een heldere manier geeft om die rommelige realiteit te bespreken zonder te vervallen in vaagheden.

Eric Brewer, computerwetenschapper en medeoprichter van Inktomi, introduceerde het kernidee in 2000 als een praktische uitspraak over gerepliceerde systemen onder falen. Het verspreidde zich snel omdat het overeenkwam met wat teams al in productie meemaakten: gedistribueerde systemen falen niet alleen door uit te vallen; ze falen door te splitsen.

CAP is een lens voor falen, geen afvinklijst met functies

CAP is het meest nuttig wanneer dingen misgaan—vooral wanneer het netwerk zich niet gedraagt. Op een gezonde dag kunnen veel systemen er zowel consistent als beschikbaar genoeg uitzien. De stresstest is wanneer machines niet betrouwbaar met elkaar kunnen communiceren en je moet beslissen wat te doen met reads en writes terwijl het systeem verdeeld is.

Die framing is waarom CAP een standaard mental model werd: het discussieert niet over best practices; het dwingt een concrete vraag af—wat offeren we op tijdens een split?

Wat je aan het einde kunt beslissen

Aan het einde van dit artikel zou je in staat moeten zijn om:

• Te herkennen wanneer je met een echte CAP-situatie te maken hebt (replicatie + mogelijke communicatieonderbrekingen).
• Opzettelijk te kiezen of je systeem consistentie (iedereen ziet dezelfde waarheid) of beschikbaarheid (het systeem blijft antwoorden) moet prefereren wanneer replicas het niet eens kunnen worden.
• Die keuze te koppelen aan productimpact: wat gebruikers ervaren, welke fouten je toont en welke fixes nodig zijn nadat de split is hersteld.

CAP blijft relevant omdat het vage "gedistribueerd is moeilijk"-praat omzet in een beslissing die je kunt nemen—en verdedigen.

De opzet: replicatie en het probleem van oneensheid

Een gedistribueerd systeem is, in gewone bewoordingen, veel computers die proberen als één te werken. Je kunt meerdere servers in verschillende racks, regio’s of cloudzones hebben, maar voor de gebruiker is het “de app” of “de database.”

Waarom we data repliceren

Om dat gedeelde systeem op echte schaal te laten werken, repliceren we meestal: we bewaren meerdere kopieën van dezelfde data op verschillende machines.

Replicatie is populair om drie praktische redenen:

• Schaal: meer machines kunnen meer verkeer verwerken.
• Prestaties: gebruikers kunnen bediend worden door een nabijgelegen kopie, waardoor latency afneemt.
• Betrouwbaarheid: als één machine uitvalt, kan een andere kopie de dienst voortzetten.

Tot nu toe klinkt replicatie als een eenvoudige winst. De catch is dat replicatie een nieuwe taak creëert: alle kopieën in overeenstemming houden.

De kernspanning: kopieën kunnen het oneens zijn

Als elke replica altijd instant met elke andere replica kon praten, konden ze updates coördineren en op dezelfde staat blijven. Maar echte netwerken zijn niet perfect. Berichten kunnen vertraagd, weggegooid of omgeleid worden rond fouten.

Wanneer communicatie gezond is, kunnen replicas meestal updates uitwisselen en naar dezelfde staat convergeren. Maar als communicatie faalt (zelfs tijdelijk), kun je eindigen met twee geldig-uitziende versies van “de waarheid.”

Stel dat een gebruiker zijn afleveradres verandert. Replica A krijgt de update, replica B niet. Nu moet het systeem een ogenschijnlijk simpele vraag beantwoorden: wat is het huidige adres?

Normale operatie versus falende operatie

Dit is het verschil tussen:

• Normale operatie: replicas kunnen coördineren; onenigheid is meestal een timingprobleem.
• Faaloperatie: sommige replicas kunnen niet communiceren; onenigheid wordt onvermijdelijk.

CAP-denken begint precies hier: zodra replicatie bestaat, is onenigheid onder communicatie-uitval geen randgeval—het is het centrale ontwerpprobleem.

CAP in gewone taal: C, A en P

CAP is een denkkader voor wat gebruikers daadwerkelijk voelen wanneer een systeem verspreid is over meerdere machines (vaak op meerdere locaties). Het beschrijft geen “goede” of “slechte” systemen—alleen de spanning die je moet beheren.

Consistentie (C): zie ik de laatste write?

Consistentie gaat over overeenstemming. Als je iets bijwerkt, zal de volgende read (van waar dan ook) die update laten zien?

Voor een gebruiker is het het verschil tussen “ik heb het net veranderd en iedereen ziet dezelfde nieuwe waarde” versus “sommige mensen zien de oude waarde nog een tijdje.”

Beschikbaarheid (A): krijg ik überhaupt een antwoord?

Beschikbaarheid betekent dat het systeem reageert op verzoeken—reads en writes—met een succesvol resultaat. Niet “de snelst mogelijke,” maar “het weigert je niet te bedienen.”

Tijdens problemen (een server down, een netwerkglitch) blijft een beschikbaar systeem verzoeken accepteren, ook al antwoordt het mogelijk met verouderde data.

Partitietolerantie (P): wat gebeurt er als knooppunten niet kunnen praten?

Een partitie is wanneer het netwerk splitst: machines draaien wel, maar berichten tussen sommige van hen kunnen niet doorkomen (of komen te laat voor praktisch gebruik). In gedistribueerde systemen kun je dit niet als onmogelijk beschouwen—je moet gedrag definiëren voor wanneer het gebeurt.

Een simpel verhaal: twee winkels, één voorraad

Stel je twee winkels voor die hetzelfde product verkopen en een gedeelde "1 voorraad" hebben. Een klant koopt het laatste artikel in Winkel A, dus Winkel A schrijft voorraad = 0. Tegelijkertijd voorkomt een netwerkpartitie dat Winkel B hiervan hoort.

Als Winkel B beschikbaar blijft, kan het een artikel verkopen dat het niet meer heeft (de verkoop accepteren terwijl het gesplitst is). Als Winkel B consistentie afdwingt, kan het de verkoop weigeren totdat het de nieuwste voorraad kan bevestigen (dienst weigeren tijdens de split).

Wat partities echt zijn (en waarom je ze niet kunt negeren)

Een “partitie” is niet alleen “het internet is down.” Het is elke situatie waarin delen van je systeem niet betrouwbaar met elkaar kunnen praten—ook al draaien die delen zelf nog prima.

In een gerepliceerd systeem wisselen nodes constant berichten uit: writes, acknowledgements, heartbeats, leader elections, read-verzoeken. Een partitie is wat er gebeurt wanneer die berichten niet meer aankomen (of te laat aankomen), waardoor onenigheid over de realiteit ontstaat: “Is de write gebeurd?” “Wie is de leader?” “Is node B alive?”

Partities zijn communicatie-uitvallen

Communicatie kan op rommelige, gedeeltelijke manieren falen:

• Pakketverlies dat retries en timeouts triggeren
• Routeringsproblemen waar verkeer omleidt of verdwijnt
• Overbelaste links (of verzadigde NICs) die lange vertragingen veroorzaken
• Misconfigured firewalls / security groups die alleen bepaalde poorten of richtingen blokkeren
• DNS- of service-discovery-hiccups die nodes verhinderen elkaar te vinden

Het belangrijke punt: partities zijn vaak degradatie, geen schone aan/uit-uitval. Vanuit de applicatie gezien kan “traag genoeg” niet te onderscheiden zijn van “down.”

Waarom partities onvermijdelijk zijn op schaal

Naarmate je meer machines, netwerken, regio’s en bewegende delen toevoegt, ontstaan er simpelweg meer kansen voor communicatie om tijdelijk te breken. Zelfs als individuele componenten betrouwbaar zijn, ervaart het geheel falen omdat het meer afhankelijkheden en meer cross-node coördinatie heeft.

Je hoeft geen exacte faalkans aan te nemen om de realiteit te accepteren: als je systeem lang genoeg draait en genoeg infrastructuur overspant, zullen partities gebeuren.

Wat “partities tolereren” in de praktijk betekent

Partitietolerantie betekent dat je systeem is ontworpen om door te werken tijdens een split—zelfs wanneer nodes het niet eens kunnen worden of niet kunnen bevestigen wat de andere kant heeft gezien. Dat dwingt een keuze af: blijf je verzoeken bedienen (met risico op inconsistentie) of stop/weiger je sommige verzoeken (bewaar consistentie).

Het cruciale moment: kiezen voor consistentie of beschikbaarheid tijdens een split

Zodra je replicatie hebt, is een partitie gewoon een communicatiebreuk: twee delen van je systeem kunnen voor een tijdje niet betrouwbaar met elkaar praten. Replicas draaien nog steeds, gebruikers blijven klikken, en je service ontvangt nog steeds verzoeken—maar de replicas kunnen het niet eens worden over de laatste waarheid.

Dat is de CAP-spanning in één zin: tijdens een partitie moet je kiezen of je Consistentie (C) of Beschikbaarheid (A) prioriteert. Je krijgt niet beide tegelijk.

Als je Consistentie (C) kiest

Je zegt: “Ik wil liever correct zijn dan responsief.” Wanneer het systeem niet kan bevestigen dat een verzoek alle replicas in sync houdt, moet het falen of wachten.

Praktisch effect: sommige gebruikers zien fouten, timeouts of “probeer het later opnieuw”—vooral bij operaties die data wijzigen. Dit is gebruikelijk wanneer je liever een betaling weigert dan twee keer in rekening te brengen, of een stoelreservering blokkeert dan overselling toe te staan.

Als je Beschikbaarheid (A) kiest

Je zegt: “Ik wil liever reageren dan blokkeren.” Elke kant van de partition blijft verzoeken accepteren, zelfs als coördinatie niet mogelijk is.

Praktisch effect: gebruikers krijgen succesvolle responsen, maar de data die ze lezen kan verouderd zijn en gelijktijdige updates kunnen conflicteren. Je vertrouwt dan op latere reconciliatie (merge-rules, last-write-wins, handmatige review, enz.).

De keuze kan per operatie verschillen

Het is niet altijd een enkele globale instelling. Veel producten mengen strategieën:

• Reads vs writes: houd reads beschikbaar, maar maak writes strikter.
• Kritische vs niet-kritische acties: handhaaf consistentie voor geld, identiteit en voorraad; laat beschikbaarheid toe voor feeds, analytics, “likes” of gecachte profielen.

Het essentiële moment is per operatie beslissen wat erger is: een gebruiker nu blokkeren, of later conflicterende waarheden herstellen.

Veelvoorkomende misvattingen: verder dan de slogan “kies twee”

De slogan “kies twee” is gedenkwaardig, maar misleidt vaak mensen in de veronderstelling dat CAP een menu van drie features is waarvan je er permanent maar twee kunt behouden. CAP gaat over wat er gebeurt wanneer het netwerk niet meewerkt: tijdens een partitie (of alles wat daarop lijkt) moet een gedistribueerd systeem kiezen tussen het teruggeven van consistente antwoorden en het altijd beschikbaar blijven voor elk verzoek.

Misvatting 1: “Ik kies C en A en vermijd partities”

In echte gedistribueerde systemen kun je partities niet uitzetten. Als je systeem machines, racks, zones of regio’s overspant, kunnen berichten vertraagd, weggegooid, opnieuw gerangschikt of raar gerouteerd worden. Dat is vanuit de software gezien een partitie: nodes kunnen niet goed genoeg overeenkomen.

Zelfs als het fysieke netwerk in orde lijkt, creëren fouten elders hetzelfde effect—overbelaste nodes, GC-pauzes, noisy neighbors, DNS-hiccups, onbetrouwbare load balancers. Het resultaat is hetzelfde: sommige delen van het systeem kunnen niet goed genoeg met andere delen praten om te coördineren.

Misvatting 2: “Partities zijn zeldzame randgevallen”

Applicaties ervaren geen partitie als een nette, binaire gebeurtenis. Ze ervaren latencypieken en timeouts. Als een verzoek na 200 ms time-out gaat, maakt het niet uit of het pakket na 201 ms arriveerde of nooit arriveerde: de app moet beslissen wat te doen. Vanuit de app is trage communicatie vaak niet te onderscheiden van kapotte communicatie.

Misvatting 3: “Systemen zijn óf CP óf AP”

Veel echte systemen zijn voornamelijk consistent of voornamelijk beschikbaar, afhankelijk van configuratie en operationele omstandigheden. Timeouts, retry-beleid, quorumgroottes en “read your writes”-opties kunnen het gedrag verschuiven.

Onder normale condities kan een database sterk consistent lijken; onder stress of cross-region problemen kan hij beginnen verzoeken te weigeren (consistency favoriseren) of verouderde data teruggeven (availability favoriseren).

CAP gaat minder over producten labelen en meer over begrijpen welke afweging je maakt wanneer onenigheid ontstaat—vooral wanneer die onenigheid veroorzaakt wordt door gewone traagheid.

Consistentie-opties die je daadwerkelijk kunt kiezen

CAP-discussies maken consistentie vaak binair: ofwel “perfect” ofwel “alles kan.” Echte systemen bieden een menu met garanties, elk met een andere gebruikerservaring wanneer replicas het oneens zijn of een netwerklink faalt.

Sterke consistentie (en de prijs tijdens falen)

Sterke consistentie (vaak “linearizable” gedrag) betekent dat zodra een write bevestigd is, iedere latere read—ongeacht welke replica—die write teruggeeft.

Wat het kost: tijdens een partitie of wanneer een minderheid van replicas onbereikbaar is, kan het systeem reads/writes vertragen of weigeren om tegenstrijdige staten te voorkomen. Gebruikers merken dit als timeouts, “probeer het later” of tijdelijk read-only gedrag.

Eventuele consistentie (en wat gebruikers kunnen merken)

Eventuele consistentie belooft dat als er geen nieuwe updates plaatsvinden, alle replicas uiteindelijk convergeren. Het belooft niet dat twee gebruikers die nu tegelijk lezen hetzelfde zien.

Wat gebruikers kunnen merken: een recent geüpdatete profielfoto die “terugtikt”, tellers die achterlopen, of een net-verzonden bericht dat op een ander apparaat pas later zichtbaar is.

Handige tussenliggende garanties

Je kunt vaak een betere ervaring kopen zonder volstrekte sterke consistentie te eisen:

• Read-your-writes: nadat je iets hebt bijgewerkt, lees je niet per ongeluk een oudere versie van je eigen data.
• Monotonic reads: zodra je versie N hebt gezien, ga je niet later terug naar N-1.
• Causale consistentie: als gebeurtenis B afhangt van A (een reply na het lezen van een bericht), ziet iedereen A vóór B.

Deze garanties sluiten goed aan bij hoe mensen denken (“laat mijn eigen wijzigingen niet verdwijnen”) en zijn vaak makkelijker te handhaven tijdens gedeeltelijke fouten.

Kies een consistentieniveau op basis van verwachtingen

Begin met gebruikersbeloften, niet met jargon:

• Als foutieve reads onherstelbare schade veroorzaken (geldverkeer, voorraadreservering, permissiewijzigingen), neig naar sterkere consistentie en accepteer tijdelijke onbeschikbaarheid.
• Als de feature korte onenigheid kan verdragen (likes, view counts, feed-ranking), past eventuele of causale consistentie meestal goed.
• Als de kernpijn persoonlijke verwarring is (“ik heb het opgeslagen—waarom zie ik het niet?”), geef prioriteit aan read-your-writes en monotonic reads.

Consistentie is een productkeuze: beschrijf wat “fout” voor de gebruiker betekent en kies de zwakste garantie die die fout voorkomt.

Beschikbaarheid als productbeslissing, niet alleen een uptime-cijfer

Beschikbaarheid in CAP is geen opschepmetric (“vijf negens”)—het is een belofte aan gebruikers over wat er gebeurt wanneer het systeem niet zeker kan zijn.

Snel succes versus accuraat succes

Als replicas het niet eens kunnen worden, kies je vaak tussen:

• Snel succes: geef iets snel terug (ook al kan het verouderd zijn).
• Accuraat succes: geef alleen terug wanneer je kunt bewijzen dat het antwoord actueel is.

Gebruikers ervaren dit als “de app werkt” versus “de app is correct.” Geen van beide is universeel beter; de juiste keuze hangt af van wat “fout” in jouw product betekent. Een licht verouderde sociale feed is vervelend; een verouderd rekeningoverzicht kan schadelijk zijn.

“Fail closed” versus “fail open”

Twee veelvoorkomende gedragingen bij onzekerheid:

• Gesloten falen: weiger het verzoek (fouten, timeouts, read-only modus). Je beschermt correctheid, maar gebruikers kunnen vastlopen.
• Open falen: serveer een best-effort antwoord (gecachete data, lokale replica, queued write). Je beschermt de stroom, maar toont mogelijk inconsistente resultaten.

Dit is geen puur technische keuze; het is een beleidskeuze. Het product moet definiëren wat acceptabel is om te tonen en wat nooit geraden mag worden.

Gedeeltelijke beschikbaarheid is nog steeds beschikbaarheid

Beschikbaarheid is zelden alles-of-niets. Tijdens een split kun je gedeeltelijke beschikbaarheid zien: sommige regio’s, netwerken of gebruikergroepen slagen terwijl anderen falen. Dit kan een bewuste ontwerpkeuze zijn (serveren waar de lokale replica gezond is) of een accidenteel gevolg (routingimbalance, ongelijke quorum-toegang).

Degradatiemodus: behoud de kern, beperk het risico

Een praktische middenweg is degradatiemodus: blijf veilige acties toestaan en beperk risicovolle acties. Bijvoorbeeld: laat browsen en zoeken toe, maar schakel tijdelijk “geld overmaken”, “wachtwoord wijzigen” of andere operaties uit waarbij correctheid en uniciteit cruciaal zijn.

Concrete voorbeelden: CAP-keuzes matchen met use-cases

CAP voelt abstract totdat je het koppelt aan wat je gebruikers ervaren tijdens een netwerk-split: geef je de voorkeur aan dat het systeem blijft reageren, of dat het stopt om conflicterende data te vermijden?

Voorraad en bestellen: oversell-risico vs. checkout-uitval

Stel twee datacenters accepteren bestellingen terwijl ze niet met elkaar kunnen praten.

Als je de checkout beschikbaar houdt, kan elk datacenter het “laatste artikel” verkopen en oversell ontstaan. Dat is acceptabel voor laag-risico goederen (je levert later of biedt excuses), maar pijnlijk bij gelimiteerde drops.

Kies je consistency-first, dan blokkeer je mogelijk nieuwe bestellingen wanneer je voorraad niet globaal bevestigd kan worden. Gebruikers zien “probeer het later”, maar je voorkomt dat je iets verkoopt dat je niet kunt leveren.

Betalingen en saldi: waarom correctheid vaak voorrang krijgt

Geld is het klassieke domein waar fouten duur zijn. Als twee replicas onterecht gelijktijdig opnames toestaan tijdens een split, kan een rekening negatief raken.

Systemen geven vaak de voorkeur aan consistentie voor kritische writes: acties weigeren of vertragen als de laatste balans niet bevestigd kan worden. Je ruilt wat beschikbaarheid (tijdelijke betaalstoringen) in voor correctheid, auditbaarheid en vertrouwen.

Chat, feeds, analytics: beschikbaar met licht verouderde data is ok

In chat en sociale feeds tolereren gebruikers meestal kleine inconsistenties: een bericht arriveert een paar seconden later, een like-telling is even off, of een view-metric werkt later bij.

Hier kan ontwerpen voor beschikbaarheid een goede productkeuze zijn, zolang je duidelijk bent over welke elementen “eventueel correct” zijn en je updates goed kunt samenvoegen.

De kern: je afweging is een zakelijke keuze

De “juiste” CAP-keuze hangt af van de kosten van fout gaan: restituties, juridische exposure, gebruikersvertrouwen of operationele chaos. Bepaal waar je tijdelijke staleness kunt tolereren en waar je gesloten moet blijven.

Ontwerppatronen die je afweging uitvoeren

Als je hebt besloten wat je tijdens een netwerk-split gaat doen, heb je mechanismen nodig om die beslissing daadwerkelijk te maken. Deze patronen verschijnen in databases, berichtensystemen en API’s—zelfs als het product nooit “CAP” noemt.

Quorums: meerderheidsovereenkomst

Een quorum is gewoon “de meerderheid van de replicas is het eens.” Als je 5 kopieën van data hebt, is de meerderheid 3.

Door te eisen dat reads en/of writes een meerderheid contacteren, verklein je de kans op verouderde of conflicterende antwoorden. Bijvoorbeeld: als een write bevestiging van 3 replicas nodig heeft, is het lastiger voor twee geïsoleerde groepen om verschillende “waarheden” te accepteren.

De afweging is snelheid en bereik: als je geen meerderheid kunt bereiken (door een partitie of uitval), kan het systeem de operatie weigeren—je kiest consistentie boven beschikbaarheid.

Timeouts, retries en backoff vormen de waargenomen beschikbaarheid

Veel “beschikbaarheid”-problemen zijn geen harde fouten maar trage responses. Een korte timeout kan het systeem vlot laten aanvoelen, maar verhoogt ook de kans dat je langzame successen als fouten behandelt.

Retries kunnen herstel brengen bij tijdelijke blips, maar agressieve retries kunnen een al worstelende service overbelasten. Backoff (iets langer wachten tussen retries) en jitter (randomness) helpen voorkomen dat retries in een verkeerspiek veranderen.

De sleutel is deze instellingen af te stemmen op je belofte: “altijd reageren” betekent meestal meer retries en fallbacks; “nooit liegen” betekent strakkere limieten en duidelijke fouten.

Conflictafhandeling als je divergentie toestaat

Als je tijdens partities beschikbaar blijft, kunnen replicas verschillende updates accepteren en moet je later reconciliëren. Gebruikelijke benaderingen:

• Last-write-wins (LWW): kies de update met de laatste timestamp. Simpel, maar kan geldige changes verliezen als klokken uit elkaar lopen.
• Version vectors: voeg een kleine “geschiedenis” toe die helpt detecteren of updates gelijktijdig zijn of elkaar overschrijven.
• Merge-rules: definieer hoe je veranderingen combineert (bv. winkelwagenitems union; tellers optellen; profielen voorkeur voor niet-lege velden). Dit werkt het beste als het in het datamodel is ontworpen.

Idempotentie: retries veilig maken

Retries kunnen duplicaten creëren: twee keer een kaart in rekening brengen of twee keer dezelfde bestelling plaatsen. Idempotentie voorkomt dat.

Een veelgebruikt patroon is een idempotency key (request ID) meegeven met elk verzoek. De server slaat het eerste resultaat op en geeft hetzelfde resultaat terug voor herhaalde verzoeken—zodat retries beschikbaarheid verbeteren zonder data te corrumperen.

Hoe je CAP-veronderstellingen in het echt valideert

De meeste teams “kiezen” een CAP-stance op een whiteboard—en ontdekken dan in productie dat het systeem zich anders gedraagt onder stress. Valideren betekent doelbewust de condities creëren waarin CAP-afwegingen zichtbaar worden en controleren of je systeem zich gedraagt zoals ontworpen.

Test partities opzettelijk (veilig)

Je hebt geen echte kabelbreuk nodig om iets te leren. Gebruik gecontroleerde foutinjectie in staging (en zorgvuldig in productie) om partities te simuleren:

• Blackhole verkeer tussen specifieke services of nodes (drop pakketten zonder verbindingen te sluiten) om een stille split na te bootsen.
• Breek links door poorten of security group regels tussen replicas/regio’s te blokkeren.
• Voeg extreme latency en pakketverlies toe zodat timeouts en retries zich gedragen als bij een partitie.
• Isoleren van de leader (bijv. het primaire isoleren van een quorum) om te zien of je “consistent” of “available” faalt.

Het doel is concrete vragen te beantwoorden: Worden writes afgewezen of geaccepteerd? Serveren reads verouderde data? Herstelt het systeem automatisch en hoe lang duurt reconciliatie?

Als je deze gedragingen vroeg wilt valideren (voordat je weken in integratie steekt), helpt het om snel een realistisch prototype op te zetten. Teams die Koder.ai gebruiken, starten bijvoorbeeld vaak met een kleine service (meestal een Go-backend met PostgreSQL en een React UI) en itereren dan op gedrag zoals retries, idempotency keys en degradatiemodusflows in een sandboxomgeving.

Monitor signalen die CAP-pijn blootleggen

Traditionele uptime-checks vangen geen “beschikbaar maar fout” gedrag. Houd bij:

• Foutpercentages per operatietype (read vs write vs conditionele update).
• Stale-read indicatoren (read-your-writes-violations, versie/ETag mismatch, lag-metrieken).
• Replica-divergentie (replicatie-lag, failed apply-tellingen, conflict-rates).
• Timeouts/retries (vaak het eerste teken van een opkomende split).

Runbooks en gebruikerscommunicatie

Operators hebben vooraf vastgestelde acties nodig wanneer een partitie gebeurt: wanneer writes bevriezen, wanneer te failoveren, wanneer features te degraderen en hoe je veilig opnieuw samenvoegen valideert.

Plan ook de gebruikersgedragingen. Als je consistentie kiest, kan de boodschap zijn: “We kunnen je update nu niet bevestigen—probeer het later.” Als je beschikbaarheid kiest, wees expliciet: “Je update kan een paar minuten duren voordat die overal zichtbaar is.” Duidelijke taal vermindert supportbelasting en behoudt vertrouwen.

Een praktische CAP-checklist voor alledaagse systeemkeuzes

Wanneer je een systeembeslissing neemt, is CAP het meest nuttig als een snelle “wat breekt er tijdens een split?”-audit—niet als een theoretisch debat. Gebruik deze checklist voordat je een databasefeature, cachingstrategie of replicatiemodus kiest.

1) Een korte CAP-checklist

Stel deze vragen op volgorde:

• Wat moet correct zijn? (bv. “een banksaldo mag nooit negatief worden”, “voorraad mag niet oversold raken”, “rechten moeten accuraat zijn”)
• Wat moet bereikbaar blijven? (bv. checkout-endpoint, login, read-only catalogus)
• Wat mag tijdelijk degraderen? (bv. analytics, aanbevelingen, profielfoto’s, “laatst gezien”)

Als een netwerkpartitie gebeurt, beslis je welke van deze je eerst beschermt.

2) Beslis per datatype en per endpoint

Vermijd een enkele globale instelling zoals “we zijn een AP-systeem.” Beslis per:

• Datatype: geld vs likes vs logs
• Endpoint: “place order” vs “view order” vs “track shipment”

Voorbeeld: tijdens een split kun je writes naar payments blokkeren (consistency) maar reads voor product_catalog beschikbaar houden met gecachte data.

3) Definieer “acceptabele inconsistentie” concreet

Schrijf op wat je kunt tolereren, met voorbeelden:

• Tijdslimiet: “tellers mogen 5–10 minuten achterlopen”
• Magnitude: “voorraad kan ±1 afwijken voor items met weinig vraag”
• Veldniveau: “leverdatum kan verouderd zijn; ordertotaal nooit”
• Gebruikerstekst: “toon ‘in behandeling’ in plaats van een definitieve status”

Als je inconsistentie niet in eenvoudige voorbeelden kunt beschrijven, wordt het lastig te testen en incidenten uit te leggen.

4) Belangrijke afhaalpunten + wat te lezen daarna

• Partities veranderen “leuke garanties” in gedwongen keuzes.
• Maak die keuzes expliciet per endpoint en documenteer de acceptabele inconsistentie.

Vervolgonderwerpen die goed bij deze checklist passen: consensus, consistency models en SLOs/error budgets.