上周三凌晨两点,我一个朋友被电话从被窝里拽了起来。电话那头是公司 CTO,声音紧张:“生产库崩了,主从全挂,数据丢了两小时,你赶紧过来。”他套上裤子就往公司跑,出租车上一路盯着手机,脑子里全是上个月备份策略调整后忘了验证的事——备份文件确实有,但能不能恢复,没人敢打包票。这种场景,凡是做过数据库运维的人,都经历过类似的冷汗时刻。数据库修复平时没人提,一提就是火烧眉毛的级别。
数据库崩掉的原因千奇百怪,但归纳下来无非几类。硬件层面的磁盘坏道、内存报错、控制器故障,来得突然且毫无征兆,常常是半夜告警一响,磁盘阵列灯全红。软件层面更头疼,版本升级踩坑、参数配置失误、SQL 语句跑爆临时表空间,甚至一个简单的 DDL 操作卡在主从复制环节,直接导致数据不一致。人为操作更是防不胜防,删库跑路不是段子,我就见过有人手滑在测试环境执行了 DROP TABLE,结果连的是生产库的地址。还有一种最憋屈的场景——勒索病毒加密数据库文件,连备份文件一起锁掉,你对着满屏的比特币地址,除了骂街什么都干不了。
我那个朋友到了机房,先检查备份。好消息是,他们用的是全量加 binlog 的增量策略,每六个小时一次全量,binlog 保留三天。坏消息是,全量备份文件的校验和不对,很可能上次备份时磁盘出现坏道,文件写入不完整。他当时脸就白了,这意味着最近一次可用的全量备份是 18 小时前的,中间还夹着大量未归档的 binlog。数据库修复最怕的就是这种“半截备份”,明知道数据可能不完整,却不得不赌一把。他硬着头皮把那个坏的全量文件拉出来,用工具修复了一部分表结构,再手工跳过损坏的数据页,花了四个小时才把全量恢复到备机,然后开始逐条回放 binlog。
回放 binlog 听起来简单,实际操作全是坑。binlog 里记录的是事务级别的操作,如果数据库是混合引擎,InnoDB 和 MyISAM 混着用,回放顺序就得格外小心。MyISAM 不支持事务,某个插入操作写到一半崩了,binlog 里可能只有半条记录,回放时直接报错。更麻烦的是,如果原库开启了 GTID 模式,回放时 GTID_SET 必须对齐,否则主从一启动就报主键冲突。我那朋友回放到凌晨五点时,碰到了一个死锁场景——两条并发事务在 binlog 里交错记录,回放时触发锁超时,整个回放进程卡死。他不得不手动修改 binlog 的回放顺序,把冲突的事务拆开执行,这一步极其考验对业务逻辑的理解,搞错一条数据就会歪掉。
数据恢复完成后,还有更折磨人的校验环节。你觉得数据回来了,但谁敢直接切到线上生产?我那朋友先拿了一批核心业务表做行数对比,发现有三张表的数据量与预期差了 0.3%。0.3% 听着不大,但放在交易流水表里,可能就是几十万条记录的差异。他赶紧查 binlog 回放日志,发现是某段时间内有个定时任务在批量删除旧数据,这些删除操作被正常回放了,但删除之前的最新插入数据因为对应的 binlog 文件损坏而丢失。这种情况最尴尬——你恢复了 90% 的数据,剩下的 10% 恰好是关键业务数据,业务方难以接受“大部分数据回来了”的说法。
数据修复到这一步,往往已经不是技术问题,而是决策问题。是继续从备份里抠数据,还是接受数据丢失的现实,亦或是跑回机房翻历史归档?我那朋友选择了第三条路——他们公司有个好习惯,每个月会把全量备份归档到离线磁带库里。他派人去机房翻磁带,结果发现上个月的归档磁带标签写错了,标着“全量备份”的磁带实际装的是监控日志。那一刻他跟我说,感觉自己的职业生涯都在冒红光。没办法,他们只能把上个月的可信备份拉出来,然后手工补录本月以来的所有业务单据,找了二十个运营人员加班对账,整整干了两天两夜。
事后复盘,他们发现了几个致命问题。第一,备份验证形同虚设,备份脚本只检查文件是否存在和大小,从未真正做过一次恢复演练。第二,离线归档的管理流程混乱,磁带标签居然手写,没有任何电子台账。第三,也是最要命的——他们从未对“数据库修复”做过预案,所有人默认“只要备份在,数据就能回来”,却没人考虑“备份文件坏了怎么办”。其实这些问题在业内太常见,很多公司每年花几十万买备份软件,却舍不得安排专人做备份验证和恢复演练。备份不是拿来存的,而是拿来用的,这句话说起来简单,做起来却是全真的投入。
数据库修复本质上是一场与时间、与数据完整性的博弈。你永远不知道下一次崩盘会发生在哪一刻,也不知道备份文件是否真的可靠。但有一点是确定的——修复能力不是写在 PPT 里的流程,而是一次次实战经验的积累。我那朋友后来告诉我,他们公司现在每个月强制做一次恢复演练,每次演练都录屏存档,演练中发现的问题全部记入复盘文档。他说,哪怕本月演练一切顺利,也比不出事强。毕竟数据库崩了可以重来,但客户信任崩了,就不一定能修复。
