3544 字
10 分钟
数据库可靠性:备份、容灾与混沌工程
你的数据库运行了三年,从未出过问题。直到某个凌晨,磁盘阵列损坏——而你的上一次全量备份是 72 小时前。72 小时的业务数据,就这样消失了。
这不是危言耸听,而是真实发生过无数次的生产事故。可靠性(Reliability)不是”不出故障”——故障一定会发生,而是当故障发生时,系统能多快恢复、能恢复到什么程度。本章从故障分类出发,逐层构建数据库可靠性的防御体系:备份恢复、容灾方案、高可用架构、数据一致性校验、混沌工程与多地域部署。
前置知识
- Ch02 存储引擎:WAL 与存储引擎的崩溃恢复机制
- Ch12 数据复制:容灾方案依赖数据复制技术
- Ch15 一致性与共识:多地域部署中的一致性保证
Note
数据库可靠性是”事故驱动”的演进——GitLab 2010 年误删数据库、AWS S3 2017 年大规模故障等事故推动了混沌工程(Netflix Chaos Monkey,2012)的兴起。
一、可靠性概述
1.1 什么是可靠性
数据库的可靠性可以从三个维度定义:
- 容错性(Fault Tolerance):系统在部分组件故障时仍能继续提供服务
- 可恢复性(Recoverability):系统在严重故障后能恢复到一致的状态
- 持久性(Durability):已确认的数据不会因任何故障而丢失
这三个维度构成递进的防御体系:容错性让你”扛住”小故障,可恢复性让你”恢复”大故障,持久性让你”不丢”已确认的数据。
1.2 故障分类
graph TB
subgraph 故障分类["数据库故障分类"]
TRANS["事务内故障<br/>原子性保证回滚"]
SYS["系统故障<br/>重启恢复(WAL)"]
MEDIA["介质故障<br/>备份恢复"]
NET["网络故障<br/>超时/重试/分区"]
BUG["软件 Bug<br/>补丁/回滚"]
OPS["运维误操作<br/>闪回/备份恢复"]
end
TRANS --> FREQ["频率:高 / 影响:单事务"]
SYS --> FREQ2["频率:中 / 影响:内存数据丢失"]
MEDIA --> FREQ3["频率:低 / 影响:磁盘数据丢失"]
NET --> FREQ4["频率:高 / 影响:部分节点不可达"]
BUG --> FREQ5["频率:低 / 影响:数据逻辑错误"]
OPS --> FREQ6["频率:中 / 影响:数据误删误改"]
style 故障分类 fill:#fff3e0,stroke:#e65100
| 故障类型 | 典型场景 | 恢复机制 | 恢复时间 |
|---|---|---|---|
| 事务内故障 | 违反约束、死锁回滚 | 事务自动回滚(Undo Log) | 毫秒级 |
| 系统故障 | 断电、OS 崩溃 | WAL 重放(Redo Log) | 秒~分钟级 |
| 介质故障 | 磁盘损坏、RAID 失效 | 备份恢复 + 日志重放 | 分钟~小时级 |
| 网络故障 | 交换机故障、光缆中断 | 超时重试、故障转移 | 秒~分钟级 |
| 软件 Bug | 优化器错误、复制逻辑缺陷 | 补丁修复、数据修复 | 小时~天级 |
| 运维误操作 | DROP TABLE、DELETE 无 WHERE | 闪回查询、备份恢复 | 分钟~小时级 |
Note
故障不是”会不会发生”的问题,而是”什么时候发生”的问题。Netflix 的 Chaos Monkey 已经证明:主动注入故障是验证系统可靠性的最有效手段。将在第六节详细讨论混沌工程。
二、备份恢复
2.1 备份策略全景
备份是可靠性的最后一道防线。备份策略的核心权衡:备份速度 vs 恢复速度 vs 存储成本。
graph LR
subgraph 备份类型["三大备份类型"]
FULL["全量备份<br/>完整数据副本"]
INCR["增量备份<br/>仅变更数据"]
LOG["日志备份<br/>WAL/Binlog 归档"]
end
FULL -->|"基础"| INCR
INCR -->|"增量"| LOG
FULL --> R1["恢复:1 步 / 最快"]
INCR --> R2["恢复:全量+增量 / 中等"]
LOG --> R3["恢复:全量+增量+日志 / 最细粒度"]
style 备份类型 fill:#e3f2fd,stroke:#1565c0
| 备份类型 | 原理 | 备份速度 | 恢复速度 | 存储成本 | RPO |
|---|---|---|---|---|---|
| 全量备份 | 完整复制所有数据文件 | 最慢 | 最快(一步恢复) | 最高 | 取决于备份频率 |
| 增量备份 | 仅备份上次备份后变更的数据 | 快 | 中等(需全量 + 增量链) | 低 | 取决于增量频率 |
| 日志备份 | 持续归档 WAL/Binlog | 最快 | 最慢(需全量 + 增量 + 日志重放) | 最低 | 接近零(秒级) |
Important
生产环境必须采用全量 + 增量 + 日志备份的组合策略。仅依赖全量备份意味着 RPO 等于全量备份间隔——如果每天凌晨做一次全量备份,最坏情况下会丢失近 24 小时的数据。日志备份(Binlog 归档)可以将 RPO 缩短到秒级。
2.2 MySQL 备份实践
mysqldump:逻辑备份
# 全量备份(所有数据库)mysqldump -uroot -p --single-transaction --master-data=2 \ --routines --triggers --events \ --all-databases > full_backup_$(date +%Y%m%d).sql
# 恢复全量备份mysql -uroot -p < full_backup_20260509.sql
# 关键参数:# --single-transaction: 使用一致性快照,不锁表(InnoDB)# --master-data=2: 记录 binlog 位点# --routines/--triggers/--events: 包含存储过程/触发器/事件Xtrabackup:物理备份
对于大型数据库(100GB+),Xtrabackup 直接复制数据文件,速度更快:
# 全量物理备份xtrabackup --backup --target-dir=/backup/full \ --user=root --password=secret
# 增量备份(基于上一次全量)xtrabackup --backup --target-dir=/backup/incr1 \ --incremental-basedir=/backup/full \ --user=root --password=secret
# 恢复:准备 → 合并 → 拷贝xtrabackup --prepare --target-dir=/backup/fullxtrabackup --prepare --target-dir=/backup/full \ --incremental-dir=/backup/incr1xtrabackup --copy-back --target-dir=/backup/fullchown -R mysql:mysql /var/lib/mysql && systemctl start mysql2.3 PostgreSQL 备份实践
# pg_basebackup: 全量基础备份pg_basebackup -h localhost -U replicator \ -D /backup/base -Ft -z -P --wal-method=stream
# 配置 WAL 归档(postgresql.conf)— PITR 前提# wal_level = replica# archive_mode = on# archive_command = 'cp %p /backup/wal_archive/%f'
# PITR: 时间点恢复pg_ctl stop -D /var/lib/postgresql/datatar -xzf /backup/base/base.tar.gz -C /var/lib/postgresql/data
cat > /var/lib/postgresql/data/postgresql.auto.conf << 'EOF'restore_command = 'cp /backup/wal_archive/%f %p'recovery_target_time = '2026-05-09 03:30:00'recovery_target_action = 'promote'EOFtouch /var/lib/postgresql/data/recovery.signalpg_ctl start -D /var/lib/postgresql/data2.4 备份策略自动化
# 备份策略调度器(简化版)import subprocess, datetime, os
class BackupScheduler: """数据库备份策略调度器"""
def __init__(self, db_type="mysql", backup_root="/backup"): self.db_type = db_type self.backup_root = backup_root self.today = datetime.date.today().isoformat()
def full_backup(self): """每周日凌晨全量备份""" path = f"{self.backup_root}/full/{self.today}" os.makedirs(path, exist_ok=True) if self.db_type == "mysql": cmd = f"xtrabackup --backup --target-dir={path} --user=root" else: cmd = f"pg_basebackup -h localhost -U replicator -D {path} -Ft -z" result = subprocess.run(cmd, shell=True, capture_output=True, text=True) if result.returncode != 0: self._alert(f"备份失败: {result.stderr}") return path
def incremental_backup(self, base_path): """每日增量备份""" path = f"{self.backup_root}/incr/{self.today}" if self.db_type == "mysql": cmd = (f"xtrabackup --backup --target-dir={path} " f"--incremental-basedir={base_path} --user=root") subprocess.run(cmd, shell=True, check=True) # PostgreSQL 增量通过 WAL 归档实现 return path
def _alert(self, msg): print(f"[ALERT] {msg}")三、容灾方案
3.1 RPO 与 RTO
容灾方案的设计围绕两个核心指标:
- RPO(Recovery Point Objective):恢复点目标——你能容忍丢失多少数据
- RTO(Recovery Time Objective):恢复时间目标——你能容忍多长时间的服务中断
| 容灾等级 | RPO | RTO | 典型架构 | 成本 |
|---|---|---|---|---|
| Level 0 | 无保障 | 无保障 | 无容灾 | 最低 |
| Level 1 | 小时级 | 小时级 | 本地备份 + 异地存放 | 低 |
| Level 2 | 分钟级 | 分钟级 | 同城双活 | 中 |
| Level 3 | 秒级~零 | 秒级 | 两地三中心 | 高 |
| Level 4 | 零 | 近零 | 多活多中心 | 最高 |
3.2 同城双活
同城双活是最常见的容灾架构,两个数据中心通过高速专线互联:
graph TB
subgraph DC1["数据中心 A(主)"]
M1["MySQL Master"]
R1["MySQL Replica"]
APP1["应用服务"]
end
subgraph DC2["数据中心 B(备)"]
M2["MySQL Master(备)"]
R2["MySQL Replica"]
APP2["应用服务"]
end
LB["负载均衡"] --> APP1
LB --> APP2
APP1 --> M1
APP2 --> M2
M1 <-->|"半同步复制 / 专线 < 1ms"| M2
M1 --> R1
M2 --> R2
style DC1 fill:#e3f2fd,stroke:#1565c0
style DC2 fill:#e8f5e9,stroke:#2e7d32
style LB fill:#fff3e0,stroke:#e65100
关键设计要点:两机房距离 50km 以内,专线延迟 < 1ms,支持半同步复制;使用仲裁节点或 STONITH 防脑裂;DNS 或负载均衡器自动摘除故障节点。
3.3 异地灾备与两地三中心
异地灾备在远距离部署备用数据中心,应对城市级灾难:
# MySQL 异步复制配置(异地灾备)SET GLOBAL binlog_format = ROW;SET GLOBAL binlog_row_image = FULL;
CHANGE MASTER TO MASTER_HOST='primary-site-db.internal', MASTER_PORT=3306, MASTER_USER='repl', MASTER_AUTO_POSITION=1, -- GTID 自动定位 MASTER_CONNECT_RETRY=10, MASTER_RETRY_COUNT=86400; -- 网络中断时持续重试START SLAVE;-- 监控: SHOW SLAVE STATUS\G 关注 Seconds_Behind_Master两地三中心是金融级容灾标准架构——同城双活 + 异地灾备:
| 特性 | 同城双活 | 异地灾备 | 两地三中心 |
|---|---|---|---|
| RPO | 秒级(半同步) | 分钟级(异步) | 秒级(同城)+ 分钟级(异地兜底) |
| RTO | 秒级 | 分钟~小时级 | 秒级(同城切换) |
| 抗灾能力 | 机房级 | 城市级 | 城市级 |
| 网络要求 | 专线 < 1ms | 公网/专线 10-50ms | 同城专线 + 异地专线 |
| 适用场景 | 互联网业务 | 合规要求 | 金融、支付 |
Warning
两地三中心不等于”不会丢数据”。同城半同步复制可以保证同城 RPO 接近零,但异地异步复制意味着城市级灾难时仍可能丢失分钟级数据。关键业务的异地灾备 RPO 必须通过业务层对账来兜底,不能仅依赖数据库复制。
四、高可用架构
4.1 高可用的本质
高可用(High Availability)的核心是自动故障转移——当主节点故障时,系统自动选举新主节点并恢复服务。在 数据复制 中讨论了复制如何提供冗余,但复制本身不解决”谁来接管”的问题——这需要高可用框架来自动决策。
4.2 MySQL MHA
MHA(Master High Availability)是 MySQL 生态最成熟的故障转移方案:
# MHA 配置文件 /etc/mha/app1.cnf[server default]manager_workdir=/var/log/mha/app1manager_log=/var/log/mha/app1/manager.loguser=mha_monitorpassword=mha_passwordrepl_user=replrepl_password=repl_passwordping_interval=3secondary_check_script=masterha_secondary_check -s remote_host1 -s remote_host2master_ip_failover_script=/usr/local/bin/master_ip_failover
[server1]hostname=192.168.1.101port=3306candidate_master=1
[server2]hostname=192.168.1.102port=3306candidate_master=1
[server3]hostname=192.168.1.103port=3306no_master=1
# 启动 MHA Monitormasterha_manager --conf=/etc/mha/app1.cnf &MHA 故障转移流程:检测主节点不可用 → 找出拥有最新 relay log 的从节点 → 将差异 relay log 应用到其他从节点 → 选举并提升新主 → 其他从节点指向新主 → VIP 切换应用连接。
4.3 PostgreSQL Patroni
Patroni 基于 etcd/Consul 实现自动故障转移,是 PostgreSQL 生态的事实标准:
scope: pg-clustername: node1
restapi: listen: 0.0.0.0:8008 connect_address: 192.168.1.101:8008
etcd: hosts: 192.168.1.100:2379
bootstrap: dcs: ttl: 30 loop_wait: 10 maximum_lag_on_failover: 1048576 # 复制延迟 > 1MB 不允许切换 postgresql: use_pg_rewind: true use_slots: true parameters: wal_level: replica hot_standby: "on" max_wal_senders: 10 wal_log_hints: "on"
postgresql: listen: 0.0.0.0:5432 connect_address: 192.168.1.101:5432 data_dir: /var/lib/postgresql/data authentication: superuser: username: postgres password: supersecret replication: username: replicator password: replsecretPatroni 利用 etcd 的 Lease 机制实现 Leader 选举——只有持有 Lease 的节点才能成为主节点,天然避免脑裂。这与 一致性与共识 中讨论的 Lease 机制原理一致。
4.4 Redis Sentinel
# sentinel.confport 26379sentinel monitor mymaster 192.168.1.101 6379 2sentinel down-after-milliseconds mymaster 5000sentinel failover-timeout mymaster 60000sentinel parallel-syncs mymaster 1
# 查询主节点地址redis-cli -p 26379 SENTINEL get-master-addr-by-name mymaster4.5 高可用方案对比
| 特性 | MHA | Patroni | Sentinel |
|---|---|---|---|
| 适用数据库 | MySQL | PostgreSQL | Redis |
| 选举机制 | 配置文件 + 脚本 | etcd/Consul 分布式选举 | Sentinel 投票(多数派) |
| 脑裂防护 | secondary_check 脚本 | etcd Lease 天然防脑裂 | Quorum 投票 |
| 数据一致性保证 | 补齐 relay log 差异 | pg_rewind 回卷 | 基于复制偏移量 |
| 配置复杂度 | 高 | 中 | 低 |
| 典型 RTO | 10-30 秒 | 10-30 秒 | 30-60 秒 |
五、数据一致性校验
5.1 为什么需要一致性校验
即使有复制和高可用,数据不一致仍可能悄然发生:复制 Bug(MySQL Statement 格式在非确定性函数下主从不一致)、网络分区(脑裂期间双主写入冲突)、运维误操作(直接修改从节点数据)、软件升级(版本差异导致行为不一致)。
Note
数据一致性校验不是”锦上添花”,而是”必须拥有”。很多团队运行数月后才发现主从不一致——此时不一致数据可能已被业务逻辑放大,修复成本极高。建议至少每周执行一次全量校验。
5.2 MySQL 数据校验
# pt-table-checksum: 校验主从数据一致性pt-table-checksum \ --host=master-host \ --user=checksum_user \ --password=checksum_pwd \ --databases=mydb \ --replicate=mydb.checksums \ --no-check-binlog-format \ --chunk-size=5000
# 查看校验结果SELECT db, tbl, chunk, this_crc, master_crc, IF(this_crc = master_crc, 'OK', 'MISMATCH') AS statusFROM mydb.checksumsWHERE this_crc != master_crc;
# pt-table-sync: 修复不一致数据pt-table-sync --execute --databases=mydb \ --replicate=mydb.checksums \ h=master-host,u=sync_user,p=sync_pwd5.3 PostgreSQL 数据校验
-- 自定义校验查询:对比主从节点的行数和校验和SELECT schemaname, tablename, COUNT(*) AS row_count, md5(string_agg(md5(t::text), ',' ORDER BY id)) AS data_hashFROM my_schema.my_table tGROUP BY schemaname, tablename;
-- pg_checksums: 启用数据页校验(PG 12+,需停库)-- pg_checksums --enable -D /var/lib/postgresql/data5.4 校验策略设计
| 校验类型 | 频率 | 工具 | 影响范围 |
|---|---|---|---|
| 表行数校验 | 每小时 | 自定义脚本 | 低(COUNT 代价小) |
| 数据块校验 | 每日 | pt-table-checksum | 中(消耗主节点资源) |
| 全量哈希校验 | 每周 | md5 聚合查询 | 高(全表扫描) |
| 业务层对账 | 每日 | 应用层对账脚本 | 低(增量对比) |
六、混沌工程
6.1 从”避免故障”到”拥抱故障”
传统运维思维是”避免故障”——更多监控、更严格的变更流程、更完善的预案。但现实是:你无法避免所有故障,也无法验证所有预案。混沌工程的核心思想是:主动注入故障,在受控环境中发现系统的薄弱环节。这不是”搞破坏”,而是科学实验——提出假设(“系统能承受主节点故障”),设计实验(“杀掉主节点”),观察结果(“30 秒完成切换”),改进系统。
6.2 故障注入类型
graph TB
subgraph 混沌实验["混沌工程故障注入"]
INFRA["基础设施层<br/>CPU/内存/磁盘/网络"]
PLATFORM["平台层<br/>容器/K8s/数据库"]
APP["应用层<br/>依赖/延迟/异常"]
end
INFRA --> I1["CPU 压力 / 磁盘 IO 延迟 / 网络丢包"]
PLATFORM --> P1["Pod 杀除 / 主节点切换 / DNS 失败"]
APP --> A1["依赖超时 / 异常响应 / 缓存击穿"]
style 混沌实验 fill:#fce4ec,stroke:#880e4f
6.3 数据库混沌实验设计
# 数据库混沌实验框架(简化版)import time, subprocess
class DatabaseChaosExperiment: """数据库混沌实验框架"""
def __init__(self, experiment_name, target_host): self.name = experiment_name self.target = target_host self.results = []
def inject_primary_failure(self): """实验: 主节点故障注入 — 假设 RTO < 30s""" print(f"[实验] {self.name}: 注入主节点故障") start = time.time() subprocess.run(f"ssh {self.target} 'systemctl stop mysql'", shell=True)
# 观察故障转移 for i in range(60): time.sleep(1) r = subprocess.run("mysql -h new-primary -e 'SELECT 1'", shell=True, capture_output=True) if r.returncode == 0: elapsed = time.time() - start self.results.append({ "experiment": "primary_failure", "actual_rto": round(elapsed, 1), "passed": elapsed < 30, }) break
# 恢复原主节点 subprocess.run(f"ssh {self.target} 'systemctl start mysql'", shell=True)
def inject_network_partition(self, duration=120): """实验: 网络分区注入 — 假设系统自动降级为只读""" cmd = (f"ssh {self.target} 'tc qdisc add dev eth0 root " f"netem delay 500ms loss 50%'") subprocess.run(cmd, shell=True) time.sleep(duration) subprocess.run(f"ssh {self.target} 'tc qdisc del dev eth0 root'", shell=True)
def report(self): for r in self.results: status = "PASS" if r["passed"] else "FAIL" print(f" {status} {r['experiment']}: RTO={r['actual_rto']}s")6.4 GameDay 实战演练
GameDay 是有组织的混沌演练,流程:定义范围 → 设定假设 → 准备监控 → 执行注入 → 观察记录 → 复盘改进。
| GameDay 场景 | 注入方式 | 验证目标 | 预期结果 |
|---|---|---|---|
| 主节点宕机 | kill -9 数据库进程 | 自动故障转移 | RTO < 30s,零数据丢失 |
| 网络分区 | tc 模拟分区 | 脑裂防护 | 不出现双主,降级只读 |
| 磁盘满 | 填充磁盘空间 | 监控告警与自动清理 | 告警触发,自动清理旧日志 |
| 备份恢复 | 隔离环境恢复 | 备份可用性 | 数据完整,应用可连接 |
| 全机房断电 | 同时停止所有节点 | 容灾切换 | RTO < 5min,RPO < 1min |
七、多地域部署
7.1 多地域部署的挑战
多地域部署是可靠性的终极形态——即使整个城市不可用,系统仍能服务全球用户。但它引入了 一致性与共识 中讨论的核心矛盾:延迟与一致性的权衡。
graph TB
subgraph 多地域部署模型["一致性 vs 延迟权衡"]
STRONG["强一致性<br/>延迟 = 最远节点 RTT<br/>例: Spanner TrueTime"]
CAUSAL["因果一致性<br/>延迟 = 本地 + 异步传播<br/>例: CockroachDB"]
EVENTUAL["最终一致性<br/>延迟 = 本地写入<br/>例: Cassandra"]
end
STRONG -->|"降低一致性"| CAUSAL
CAUSAL -->|"降低一致性"| EVENTUAL
STRONG --> LAT1["跨地域: 50-200ms"]
CAUSAL --> LAT2["跨地域: 10-50ms"]
EVENTUAL --> LAT3["本地: 1-5ms"]
style 多地域部署模型 fill:#f3e5f5,stroke:#6a1b9a
7.2 多地域部署架构
| 架构模式 | 写入方式 | 一致性 | 延迟 | 适用场景 |
|---|---|---|---|---|
| 单写多读 | 所有写路由到主地域 | 强一致 | 写高读低 | 读多写少 |
| 多写异步复制 | 各地域独立写入 | 最终一致 | 低 | 可容忍冲突 |
| 多写共识协议 | 多数派写入 | 强一致 | 中等 | 金融级 |
| 分片地域归属 | 按分片归属写入 | 强一致 | 本地低 | 数据有地域性 |
7.3 多地域数据库配置
# CockroachDB 多地域部署配置cockroach start \ --locality=region=us-east,zone=us-east-1a \ --store=path=/data/cockroach \ --join=node1:26257,node2:26257,node3:26257 \ --advertise-addr=node1:26257 --background
# 配置地域亲和性ALTER DATABASE mydb CONFIGURE ZONE USING \ num_replicas = 5, constraints = '[+region=us-east:2, +region=eu-west:2, +region=ap-south:1]';
# 读优化:Lease 亲和ALTER TABLE users CONFIGURE ZONE USING \ lease_preferences = '[[+region=us-east]]';-- MySQL 多地域读写分离(ProxySQL 路由规则)-- 写走主INSERT INTO mysql_query_rules (rule_id, active, match_pattern, destination_hostgroup, apply)VALUES (1, 1, '^SELECT.*FOR UPDATE$', 10, 1);
-- 读走本地从INSERT INTO mysql_query_rules (rule_id, active, match_pattern, destination_hostgroup, apply)VALUES (2, 1, '^SELECT', 20, 1);
-- HG 10: 主站点主节点 / HG 20: 本地域从节点7.4 运维要点
- 流量路由:GeoDNS 或 Anycast 将用户路由到最近数据中心
- 数据合规:GDPR 等法规要求数据存储在特定地域,配置地域亲和性
- 跨地域监控:统一监控面板 + 各地域独立告警
- 容量规划:每个地域必须能独立承载全量流量
八、总结
8.1 可靠性防御体系
数据库可靠性不是单一技术,而是层层递进的防御体系:
graph BT
subgraph 防御体系["数据库可靠性防御体系"]
L1["第一层:存储引擎<br/>WAL + 检查点 / 防系统故障"]
L2["第二层:数据复制<br/>主从/多主复制 / 防单点故障"]
L3["第三层:高可用<br/>自动故障转移 / 秒级恢复"]
L4["第四层:备份恢复<br/>全量+增量+日志 / 防数据丢失"]
L5["第五层:容灾<br/>同城/异地/两地三中心 / 防机房级故障"]
L6["第六层:混沌工程<br/>主动注入故障 / 验证所有防御"]
end
L1 --> L2 --> L3 --> L4 --> L5 --> L6
style 防御体系 fill:#e8f5e9,stroke:#2e7d32
8.2 核心权衡总结
| 权衡维度 | 一端 | 另一端 | 决策依据 |
|---|---|---|---|
| RPO vs 成本 | 零数据丢失(同步复制) | 低成本(异步复制) | 业务对数据丢失的容忍度 |
| RTO vs 复杂度 | 秒级恢复(自动切换) | 手动恢复(简单架构) | 业务对停机时间的容忍度 |
| 一致性 vs 延迟 | 强一致(高延迟) | 最终一致(低延迟) | 业务对一致性的要求 |
| 备份频率 vs 开销 | 实时备份(高开销) | 每日备份(低开销) | 数据变更频率与 RPO 要求 |
| 容灾等级 vs 投资 | 两地三中心(高投资) | 本地备份(低投资) | 业务重要性与合规要求 |
8.3 实践检查清单
- 备份:全量 + 增量 + 日志备份,自动化调度,定期恢复演练
- 复制:半同步或同步复制,监控复制延迟
- 高可用:MHA/Patroni/Sentinel 自动故障转移,RTO < 30s
- 容灾:同城双活或两地三中心,定期容灾切换演练
- 校验:每周数据一致性校验,发现不一致立即修复
- 混沌:定期 GameDay 演练,验证所有防御机制
- 监控:RPO/RTO 指标实时监控,异常立即告警
- 文档:故障响应手册、恢复操作手册、联系人清单
Important
可靠性不是一次性的建设,而是持续运营的过程。最危险的不是已知的故障,而是你以为不会发生的故障。混沌工程的价值在于:在你最不期望的时候,用最不期望的方式,发现你最不知道的弱点。定期演练、持续改进,才是可靠性的真正保障。
延伸阅读:
支持与分享
如果这篇文章对你有帮助,欢迎支持作者或分享给更多人
数据库可靠性:备份、容灾与混沌工程
https://blog.souloss.com/posts/database/database-reliability/ 部分信息可能已经过时
相关文章 智能推荐
1
数据库全景:数据模型、存储模型与数据库分类
数据库 从数据模型到存储模型,从 OLTP 到 OLAP,全面梳理数据库的分类体系与设计取舍,建立理解所有数据库的概念框架。
2
数据库系统设计
数据库 从单机基础到分布式系统,循序渐进地掌握数据库核心原理——存储引擎、索引、事务、查询优化、复制、分区、共识算法与工程实践。
3
分库分表与 NewSQL:Sharding 策略与分布式数据库
数据库 从分库分表的工程实践出发,深入解析垂直/水平拆分、分片策略、分布式 ID 生成、跨分片查询与分布式事务,再对比 NewSQL 数据库(TiDB、CockroachDB、OceanBase)如何用分布式架构原生解决这些问题,帮你做出合理的选型决策。
4
数据库选型与实践:RDBMS、NoSQL 与 NewSQL
数据库 建立数据库选型的决策框架——RDBMS vs NoSQL vs NewSQL 的本质区别、CAP 定理的实践含义、多语言持久化策略与真实选型案例。
5
数据分区:范围、哈希与再平衡
数据库 深入解析数据分区的核心策略——范围分区与哈希分区的原理与取舍、一致性哈希的演进、二级索引的本地与全局分区、再平衡策略与热点缓解,从概念到工程实践全面掌握数据分片设计。