经常听DBA同事说,mysql可以恢复到半个月内任意一秒的状态,是否好奇是怎么做到的?
我们还是从一个表的一条更新语句说起,更新一个ID为主键和有一个整形字段c的表,ID = 1的行,例如下面这条更新语句:
update T set c = c+1 where ID = 1;
先附上mysql的逻辑架构图:
更新语句会按照基本架构流程走一遍。
mysql的更新流程,涉及两个重要的日志模块,也就是我们今天要讨论的日志系统的主要构成:redo log(重做日志)和bin log(归档日志)。虽然非DBA的同学基本不会关注这两个日志作用,但是redo log和bin log在设计上有很多可以借鉴的地方,这些设计思路可以用的平时的应用开发中。
重要的日志模块:redo log
mysql的数据更新,最终都要将数据写进磁盘。如果每一次更新,都要直接写进磁盘,就要在磁盘找到对应的那条记录,然后再更新,整个过程IO成本、查找成本都会很高。为了解决这个问题,mysql的设计者就采用了redo log来提升更新效率。
log和磁盘的配合写入,就是mysql里常说的WAL技术,WAL全程是Write-Ahead Logging,它的关键思路是先写日志,再写磁盘。
具体来说,当有一条记录需要更新的时候吗,InnoDB会先将记录写到redo log里,并更新内存,这个时候,更新就算完成了。同时,InnoDB引擎会在适当的时候,将这个操作记录更新到磁盘里面,而这个更新往往是操作系统比价空闲的时候。
如果某个时刻操作不是很多,InnoDB可以等空闲的时候再写入磁盘,但如果操作很多,log中又写满了,该怎么办呢?
InnoDB的redo log是固定大小的文件,比如可以配置为一组4个文件,每个文件大小是1GB,那么就总共可以记录4GB的操作。redo log从头开始写,写到末尾就又回到开头循环写,如下图所示:
write pos是当前的记录的位置,一边写一边后移,写到3号文件末尾就又回到0号文件开头。check point是当前要擦除的位置,也是往后推移并且循环的,擦除记录之前要把记录更新到数据文件。
write pos和check point之间是空闲的部分,可以用来记录新的操作。如果write pos追上了check point,标识日志已经写满 了,这个时候不能再执行更新,得停下来先擦掉一些记录,把check point往前推进一下。
有了redo log,InnoDB就可以保证即时数据库发生异常重启,之前提交的记录都不会丢失,这个能力称之为crash-safe。
重要的日志模块:binlog
从mysql的逻辑架构图来看,其实就两块:一块是Server层,它主要做的是mysql功能层面的事情;另一块是引擎层,负责存储相关的具体事宜。
上面我们聊到的redo log是InnoDB引擎特有的日志,而Server层也有自己的日志--binlog(归档日志)。
为什么会有两份日志系统呢?
因为最开始mysql里没有InnoDB引擎。mysql自带的引擎是MyISAM,但是MyISAM没有crash-safe能力,binlog日志只能用于归档。而InnoDB是另个一公司以插件形式引入mysql的,既然只依靠binlog是没有crash-safe能力的,所以InnoDB使用另外一套日志系统--也就是redo log来实现crash safe能力。
这两种日志系统有以下三点不同。
- redo log是InnoDB引擎特有的;binlog是mysql的server层实现的,所有引擎都可以使用
- redo log是物理日志,记录的是在“在某个数据页上做了什么修改”;binlog是逻辑日志,记录的是这个语句的原始逻辑,比如“给ID = 1的这一行加1”.
- redo log是循环写的,空间固定会用完;binlog是可以追加写入的。“追加写入”是指binlog文件写到一定大小后会切换到下一个,并不会覆盖以前的日志。
有了对这两个日志的概念性理解,我们再来看执行器和InnoDB引擎在执行这个简单update语句时的内部流程。
- 执行器先找引擎取ID=1这一行。ID是主键,引擎直接使用树搜索到这一样。如果ID=1的这一行所在的数据页本来就在内存中,就直接返回给执行器;否则,需要先从磁盘读入内存,然后再返回。
- 执行器拿到引擎给的行数据,把这个数据加上1,比如原来是N,现在就是N+1,得到新的一行数据,再调用引擎接口写入这行新数据。
- 引擎将这行新数据更新到内存中,同时将这个更新操作记录到redo log里面,此时的redo log处于prepare状态。然后告知执行器完成了,可以随时提交事务。
- 执行器生成这个操作的binlog,并把binlog写入磁盘。
- 执行器调用引擎的提交事务接口,引擎把刚刚写入的redo log改成提交(commit)状态,更新完成。
这里给出一个update语句的执行流程图,图中浅色框表示在InnoDB内部执行的,深色框表示在执行器中执行的。
你可能注意到了,最后三步有点“绕”,将redo log的写入拆分成了两个步骤:prepare和commit,这就是“两阶段提交”。
两阶段提交
为什么必须有“两阶段提交”呢?
这是为了让两份日志之间保持逻辑一致。要说明这个问题,我们得从开篇的问题说起:怎样让数据库恢复到半个月内任意一秒的状态?
我们前面说过了,binlog日志会记录所有的逻辑操作,并且采用“追加写”的方式。如果你的DBA承诺说半个月内可以恢复,那么备份系统中一定会保存最近半个月的所有binlog,同时系统会定期做整库备份。这里的“定期”取决于系统的重要性,可以是一天一备,也可以是一周一备。
当需要回到指定的某一秒时,比如某天下午两点发现中午十二点有一次误删表,需要找回数据,那你可以这么做:
- 首先,找到最近的一次全量备份,如果你运气好,可能就是昨天晚上的一个备份,从这个备份恢复到临时库;
- 然后,从备份的时间点开始,将备份的binlog一次取出来,重放到中午误删表之前的那个时刻。
这样你的临时库就跟误删之前的线上库一样了,然后你就可以把表数据从临时库取出来,按需要恢复到线上库去。
说完了数据恢复过程,我们回来说为什么日志需要“两阶段提交”。这里不妨用反证法解释一下。
由于redo log和binlog是两个独立的逻辑,如果不用两阶段提交,要么先写完redo log再写binlog,或者采用过来的顺序。我们看看这样会有什么问题。
仍然用前面的update来做栗子。假设当前ID=1的行,字段c的值是0,再假设执行update语句过程中在写完第一个日志之后,第二个日志还没有写完期间发生了crash,会出现什么情况呢?
- 先写redo log后写binlog。假设在redo log写完,binlog没有写完的时候,发生了异常重启。按照之前的逻辑,从redo log恢复回来的数据,恢复后这一行的数据c的值是1。
但是由于binlog没有记录这个语句,因此之后备份日志的时候,存起来的binlog就没有这条语句。
然后如果使用这个binlog来恢复临时库,由于binlog的丢失,这个临时库就少了一次更新,导致了数据错误。 - 先写binlog再写redo log。如果在binlog写完之后crash,由于redo log还没有写,崩溃以后这个事务无效,所以这一行c的值是0,单binlog里面已经记录了“把c从0改成1”这个日志。所以之后用binlog来恢复的时候就多了一个事务出来,恢复出来的这样c的值就是1,与原库不同。
你可能会觉得,这个概率很低,平时也没有动不动就要恢复临时库的场景呀。
其实不是的,不止误操作的恢复数据,当你扩容的时候,就是需要再多搭建一些备库来增加系统的读能力的时候,现在常见的做法也是用全量备份加上应用binlog来实现的。