03-Redis 持久化
一、持久化简介
持久化的功能:Redis 是内存数据库,数据都是存储在内存中,为了避免进程退出导致数据的永久丢失,需要定期将 Redis 中的数据以某种形式(数据或命令)从内存保存到硬盘;当下次 Redis 重启时,利用持久化文件实现数据恢复。除此之外,为了进行灾难备份,可以将持久化文件拷贝到一个远程位置。
持久化发生了什么 | 从内存到磁盘
我们来考虑一下 Redis 作为一个 内存数据库 要做的关于持久化的事情。通常来说,从客户端发起请求开始,到服务器真实地写入磁盘,需要发生如下几件事情:
- 第一步:客户端向数据库发送 写命令 (数据在客户端的内存中)
- 第二步:数据库 接收 到客户端的 写请求 (数据在服务器的内存中)
- 第三步:数据库 调用系统 API 将数据写入磁盘 (数据在内核缓冲区中)
- 第四步:操作系统将 写缓冲区 传输到 磁盘控制器 (数据在磁盘缓存中)
- 第五步:操作系统的磁盘控制器将数据 写入实际的物理媒介 中 (数据在磁盘中)
注意: 上面的过程其实是极度精简的,在实际的操作系统中,缓存和缓冲区 会比这多得多。
如何尽可能保证持久化的安全
如果故障仅仅涉及 软件层面(如该进程被管理员终止或程序崩溃) 并且没有接触到内核,那么在上述 第三步 成功返回之后,我们就认为成功了。即使进程崩溃,操作系统仍然会帮助我们把数据正确地写入磁盘。
如果考虑 停电/ 火灾 等 更具灾难性 的事情,那么只有在完成了 第五步 之后,才是安全的。
所以我们可以总结得出数据安全最重要的阶段是:第三、四、五步,所以我们分别来说。
对于 第三步,Linux 系统提供了清晰、易用的用于操作文件的
POSIX file API
,20 多年过去,还有很多人对于这一套API
的设计津津乐道,我想其中一个原因就是因为你光从API
的命名就能够很清晰地知道这一套 API 的用途:1
2
3
4int open(const char *path, int oflag, .../*,mode_t mode */);
int close (int filedes);int remove( const char *fname );
ssize_t write(int fildes, const void *buf, size_t nbyte);
ssize_t read(int fildes, void *buf, size_t nbyte);- 参考自:API 设计最佳实践的思考 - https://www.cnblogs.com/yuanjiangw/p/10846560.html
所以,我们有现成的而且很好用的
API
来完成 第三步,但是对于成功返回之前,我们对系统调用花费的时间没有太多的控制权。对于 第四步,我们知道,为了安全,操作系统不允许我们 直接操作 硬件,都需要通过 系统调用 来达到目的。
为了防止过慢的 I/O 操作拖慢整个系统的运行,操作系统层面做了很多优化,譬如 写缓冲区。并不是所有的写操作都会被立即写入磁盘,而是要先经过一个缓冲区,默认情况下,Linux 将在 30 秒 后实际提交写入。
但是 30 秒 不是 Redis 能够承受的,如果发生故障,那么最近 30 秒内写入的所有数据都可能会丢失。幸好
PROSIX API
提供了另一个解决方案:fsync
,该命令会 强制 内核将 缓冲区 写入 磁盘,但这是一个非常消耗性能的操作,每次调用都会 阻塞等待 直到设备报告 IO 完成,所以一般在生产环境的服务器中,Redis 通常是每隔 1s 左右执行一次fsync
操作。对于 第五步,我们 完全无法控制。也许一些内核实现将试图告诉驱动实际提交物理介质上的数据,或者控制器可能会为了提高速度而重新排序写操作,不会尽快将数据真正写到磁盘上,而是会等待几个多毫秒。这完全是我们无法控制的。
注意: 如果真的发生灾难性的事件,我们可以从上图的过程中看到,任何一步都可能被意外打断丢失,所以只能 尽可能地保证 数据的安全,这对于所有数据库来说都是一样的。
二、Redis 中的两种持久化方式
Redis持久化分为RDB持久化和AOF持久化:前者将当前数据保存到硬盘,后者则是将每次执行的写命令保存到硬盘(类似于MySQL的binlog);由于AOF持久化的实时性更好,即当进程意外退出时丢失的数据更少,因此AOF是目前主流的持久化方式,不过RDB持久化仍然有其用武之地。
下面依次介绍RDB持久化和AOF持久化;由于Redis各个版本之间存在差异,如无特殊说明,以Redis3.0为准。
RDB(Redis DataBase)
RDB 持久化是将当前进程中的数据生成快照保存到硬盘(因此也称作快照持久化)。RDB 是 Redis 默认的持久化方式。
Redis 创建快照之后,可以对快照进行备份,可以将快照复制到其他服务器从而创建具有相同数据的服务器副本(Redis主从结构,主要用来提高Redis性能),还可以将快照留在原地以便重启服务器的时候使用。
RDB 触发条件
RDB持久化的触发分为手动触发和自动触发两种。
手动触发
save
命令和 bgsave
命令都可以生成RDB文件。
save
命令会阻塞 Redis 服务器进程,直到 RDB 文件创建完毕为止,在 Redis 服务器阻塞期间,服务器不能处理任何命令请求。bgsave
命令会fork()一个子进程,然后由子进程写入到临时文件中,持久化的过程结束之后,再用临时文件替换上次的快照文件,然后子进程退出并内存释放。
父进程(即Redis主进程)在fork之后继续处理请求。
bgsave
命令执行过程中,只有fork子进程时会阻塞服务器,而对于 save
命令,整个过程都会阻塞服务器,因此save已基本被废弃,线上环境要杜绝save的使用。
此外,在自动触发RDB持久化时,Redis 也会选择 bgsave
而不是 save
来进行持久化。
自动触发
自动触发最常见的情况是在配置文件中配置 save m n
,指定当m秒内发生n次变化时,会触发 bgsave
,对应产生的数据文件为 dump.rdb。例如:
1 |
|
save m n
的实现原理
Redis 的 save m n
,是通过serverCron函数、dirty计数器、和lastsave时间戳来实现的。
- serverCron是Redis服务器的周期性操作函数,默认每隔100ms执行一次;该函数对服务器的状态进行维护,其中一项工作就是检查 save m n 配置的条件是否满足,如果满足就执行bgsave。
- dirty计数器是Redis服务器维持的一个状态,记录了上一次执行bgsave/save命令后,服务器状态进行了多少次修改(包括增删改);而当save/bgsave执行完成后,会将dirty重新置为0。
例如,如果Redis执行了set mykey helloworld
,则dirty值会+1;如果执行了sadd myset v1 v2 v3
,则dirty值会+3;注意dirty记录的是服务器进行了多少次修改,而不是客户端执行了多少修改数据的命令。 - lastsave时间戳也是Redis服务器维持的一个状态,记录的是上一次成功执行save/bgsave的时间。
save m n
的过程:每隔100ms,执行serverCron函数;在serverCron函数中,遍历save m n配置的保存条件,只要有一个条件满足,就进行bgsave。对于每一个save m n条件,只有下面两条同时满足时才算满足:
当前时间 - lastsave > m
dirty >= n
其他自动触发机制
除了 save m n
以外,还有一些其他情况会触发 bgsave
:
- 在主从复制场景下,如果从节点执行全量复制操作,则主节点会执行
bgsave
命令,并将rdb文件发送给从节点 - 执行shutdown命令时,自动执行rdb持久化
bgsave | COW(Copy On Write) 机制
bgsave
命令的执行流程,如下图所示:
Redis 父进程首先判断:当前是否在执行
save
,或bgsave/bgrewriteaof(重写)
的子进程,如果在执行则bgsave
命令直接返回。bgsave/bgrewriteaof
的子进程不能同时执行,主要是基于性能方面的考虑:两个并发的子进程同时执行大量的磁盘写操作,可能引起严重的性能问题。父进程调用
glibc
的函数fork
产生一个子进程,这个过程中父进程是阻塞的,Redis 不能执行来自客户端的任何命令。
主进程和子进程会共享内存里面的代码块和数据段,因为创建子进程的时候,子进程复制父进程的页表,但页表指向的物理内存还是一个。父进程
fork
后,bgsave
命令返回”Background saving started”
信息并不再阻塞父进程,并可以响应其他命令。- 如果主线程执行读操作,则主线程和
bgsave
进程互不影响; - 如果主线程执行写操作,这个时候就会使用操作系统的 COW 机制来进行 数据段页面 的分离。
数据段是由很多操作系统的页面组合而成,当父进程对其中一个页面的数据进行修改时,会将被共享的页面复制一份分离出来,然后 对这个复制的页面进行修改。
这时 子进程 相应的页面是 没有变化的,还是进程产生时那一瞬间的数据。
- 如果主线程执行读操作,则主线程和
子进程创建RDB文件,根据父进程内存快照生成临时快照文件,完成复制后对原有文件进行原子替换。
子进程做数据持久化,它 不会修改现有的内存数据结构,它只是对数据结构进行遍历读取,然后序列化写到磁盘中。子进程发送信号给父进程表示完成,父进程更新统计信息。
子进程因为数据没有变化,它能看到的内存里的数据在进程产生的一瞬间就凝固了,再也不会改变,这也是为什么 Redis 的持久化 叫「快照」的原因。
这里多说一点,为什么 fork 成功调用后会有两个返回值呢?
因为子进程在复制时复制了父进程的堆栈段,所以两个进程都停留在了 fork
函数中 (都在同一个地方往下继续”同时”执行)等待返回,所以 一次在父进程中返回子进程的 pid,另一次在子进程中返回零,系统资源不够时返回负数。 伪代码如下:
1 |
|
RDB文件
RDB文件是经过压缩的二进制文件,下面介绍关于RDB文件的一些细节。
存储路径
RDB文件的存储路径既可以在启动前通过配置文件配置,也可以通过命令动态设定。
- 配置文件配置:dir 配置指定目录,dbfilename指定文件名。默认是Redis根目录下的dump.rdb文件。
- 动态胚子:Redis启动后也可以动态修改RDB存储路径,在磁盘损害或空间不足时非常有用;执行命令为
config set dir {newdir}
和config set dbfilename {newFileName}
。
RDB文件格式
RDB文件格式如下图所示(图片来源:《Redis设计与实现》):
其中各个字段的含义说明如下:
REDIS
:常量,保存着”REDIS”5个字符。db_version
:RDB文件的版本号,注意不是Redis的版本号。SELECTDB 0 pairs
:表示一个完整的数据库(0号数据库),同理SELECTDB 3 pairs表示完整的3号数据库;只有当数据库中有键值对时,RDB文件中才会有该数据库的信息(上图所示的Redis中只有0号和3号数据库有键值对);如果Redis中所有的数据库都没有键值对,则这一部分直接省略。其中:SELECTDB是一个常量,代表后面跟着的是数据库号码;0和3是数据库号码;pairs则存储了具体的键值对信息,包括key、value值,及其数据类型、内部编码、过期时间、压缩信息等等。EOF
:常量,标志RDB文件正文内容结束。check_sum
:前面所有内容的校验和;Redis在载入RBD文件时,会计算前面的校验和并与check_sum值比较,判断文件是否损坏。
压缩
Redis 默认采用 LZF 算法对RDB文件进行压缩。虽然压缩耗时,但是可以大大减小RDB文件的体积,因此压缩默认开启;可以通过命令关闭:
config set rdbcompression no
需要注意的是,RDB文件的压缩并不是针对整个文件进行的,而是对数据库中的字符串进行的,且只有在字符串达到一定长度(20字节)时才会进行。
启动时加载
RDB文件的载入工作是在服务器启动时自动执行的,并没有专门的命令。但是由于AOF的优先级更高,因此当AOF开启时,Redis会优先载入AOF文件来恢复数据;只有当AOF关闭时,才会在Redis服务器启动时检测RDB文件,并自动载入。服务器载入RDB文件期间处于阻塞状态,直到载入完成为止。
Redis 载入 RDB文件时,会对 RDB 文件进行校验,如果文件损坏,则日志中会打印错误,Redis 启动失败。
AOF(Append Only File - 仅追加文件)
如果运行 Redis 的计算机停止运行,电源线出现故障或者 kill -9
,则写入 Redis 的最新数据将丢失。尽管这对于某些应用程序可能不是什么大问题,但有些场景如交易,快照并不是可行的选择,所以出现了 AOF。
AOF 非常简单:Redis 将每一个会更改 Redis 数据的命令通过 Write 函数追加到文件最后,类似于 MySQL 的 binlog。
当 Redis 收到客户端修改指令后,会先进行参数校验、逻辑处理,如果没问题,就 立即 将该指令文本 存储 到 AOF 日志中,也就是说,先执行指令再将日志存盘。这一点不同于 MySQL
、LevelDB
、HBase
等存储引擎,如果我们先存储日志再做逻辑处理,这样就可以保证即使宕机了,我们仍然可以通过之前保存的日志恢复到之前的数据状态,但是 Redis 为什么没有这么做呢?
没找到特别满意的答案,引用一条来自知乎上的回答吧:
- @缘于专注 - 我甚至觉得没有什么特别的原因。仅仅是因为,由于AOF文件会比较大,为了避免写入无效指令(错误指令),必须先做指令检查?如何检查,只能先执行了。因为语法级别检查并不能保证指令的有效性,比如删除一个不存在的key。而MySQL这种是因为它本身就维护了所有的表的信息,所以可以语法检查后过滤掉大部分无效指令直接记录日志,然后再执行。
- 更多讨论参见:为什么Redis先执行指令,再记录AOF日志,而不是像其它存储引擎一样反过来呢? - https://www.zhihu.com/question/342427472
AOF 设置
Redis 默认不开启 AOF,可以通过 appendonly 参数开启:
1 |
|
在 Redis 的配置文件中存在三种不同的 AOF 持久化方式,它们分别是:
1 |
|
当 RDB 和 AOF 两种方式同时开启时,数据恢复时,Redis 会优先选择AOF恢复。
AOF 执行流程
由于需要记录 Redis 的每条写命令,因此 AOF 不需要触发。AOF 的执行流程包括:
- 命令追加(append):将 Redis 的写命令追加到缓冲区
aof_buf
; - 文件写入(write)和文件同步(sync):根据不同的同步策略将
aof_buf
中的内容同步到硬盘; - 文件重写(rewrite):定期重写AOF文件,达到压缩的目的。
命令追加(append)
Redis 先将写命令追加到缓冲区,而不是直接写入文件,主要是为了避免每次有写命令都直接写入硬盘,导致硬盘IO成为Redis负载的瓶颈。
命令追加的格式是 Redis 命令请求的协议格式,它是一种纯文本格式,具有兼容性好、可读性强、容易处理、操作简单避免二次开销等优点;具体格式略。
在AOF文件中,除了用于指定数据库的 select 命令(如select 0 为选中0号数据库)是由Redis添加的,其他都是客户端发送来的写命令。
文件写入(write)和文件同步(sync)
Redis 提供了多种 AOF 缓存区的同步文件策略,策略涉及到操作系统的 write
函数和 fsync
函数,说明如下:
为了提高文件写入效率,在现代操作系统中,当用户调用 write
函数将数据写入文件时,操作系统通常会将数据暂存到一个内存缓冲区里,当缓冲区被填满或超过了指定时限后,才真正将缓冲区的数据写入到硬盘里。
这样的操作虽然提高了效率,但也带来了安全问题:如果计算机停机,内存缓冲区中的数据会丢失;因此系统同时提供了fsync、fdatasync等同步函数,可以强制操作系统立刻将缓冲区中的数据写入到硬盘里,从而确保数据的安全性。
AOF缓存区的同步文件策略由参数 appendfsync
控制,各个值的含义如下:
always
:命令写入aof_buf
后立即调用系统fsync
操作同步到AOF文件,fsync
完成后线程返回。
这种情况下,每次有写命令都要同步到 AOF 文件,硬盘IO成为性能瓶颈,Redis 只能支持大约几百TPS写入,严重降低了Redis的性能;即便是使用固态硬盘(SSD),每秒大约也只能处理几万个命令,而且会大大降低SSD的寿命。no
:命令写入aof_buf
后调用系统write操作,不对AOF文件做fsync
同步;同步由操作系统负责,通常同步周期为30秒。
这种情况下,文件同步的时间不可控,且缓冲区中堆积的数据会很多,数据安全性无法保证。everysec
:命令写入aof_buf
后调用系统write操作,write完成后线程返回;fsync同步文件操作由专门的线程每秒调用一次。
everysec是前述两种策略的折中,是性能和数据安全性的平衡,因此是Redis的默认配置,也是我们推荐的配置。
文件重写(rewrite)
随着时间流逝,Redis 服务器执行的写命令越来越多,AOF文件也会越来越大;过大的AOF文件不仅会影响服务器的正常运行,也会导致数据恢复需要的时间过长。
文件重写是指 定期重写AOF文件,减小AOF文件的体积。
需要注意的是,AOF重写是把Redis进程内的数据转化为写命令,同步到新的AOF文件;不会对旧的AOF文件进行任何读取、写入操作!
需要注意的另一点是:对于AOF持久化来说,文件重写虽然是强烈推荐的,但并不是必须的;即使没有文件重写,数据也可以被持久化并在Redis启动的时候导入;因此在一些实现中,会关闭自动的文件重写,然后通过定时任务在每天的某一时刻定时执行。
文件重写之所以能够压缩AOF文件,原因在于:
- 过期的数据不再写入文件
- 无效的命令不再写入文件:如有些数据被重复设值
set mykey v1, set mykey v2
、有些数据被删除了sadd myset v1, del myset
等等 - 多条命令可以合并为一个:如
sadd myset v1, sadd myset v2, sadd myset v3
可以合并为sadd myset v1 v2 v3
。
不过为了防止单条命令过大造成客户端缓冲区溢出,对于list、set、hash、zset类型的key,并不一定只使用一条命令;而是以某个常量为界将命令拆分为多条。
这个常量在redis.h/REDIS_AOF_REWRITE_ITEMS_PER_CMD
中定义,不可更改,3.0版本中值是64。
通过上述内容可以看出,由于重写后AOF执行的命令减少了,文件重写既可以减少文件占用的空间,也可以加快恢复速度。
文件重写的触发
文件重写的触发,分为手动触发和自动触发:
手动触发:直接调用
bgrewriteaof
命令,该命令的执行与bgsave
有些类似:都是 fork 子进程进行具体的工作,且都只有在 fork 时阻塞。自动触发:根据
auto-aof-rewrite-min-size
和auto-aof-rewrite-percentage
参数,以及aof_current_size
和aof_base_size
状态确定触发时机。auto-aof-rewrite-min-size
:执行AOF重写时,文件的最小体积,默认值为64MB。auto-aof-rewrite-percentage
:执行AOF重写时,当前AOF大小(即aof_current_size
)和上一次重写时AOF大小(aof_base_size
)的比值。
其中,参数可以通过config get命令查看:
1
2
3
4
5
6
7
8
9127.0.0.1:6379> auth 1cfbffd2-2fad
OK
127.0.0.1:6379> config get auto-aof-rewrite-min-size
1) "auto-aof-rewrite-min-size"
2) "67108864"
127.0.0.1:6379> config get auto-aof-rewrite-percentage
1) "auto-aof-rewrite-percentage"
2) "100"
127.0.0.1:6379>状态可以通过
info persistence
查看:只有当
auto-aof-rewrite-min-size
和auto-aof-rewrite-percentage
两个参数同时满足时,才会自动触发AOF重写,即bgrewriteaof操作。
文件重写的流程
Redis 父进程首先判断当前是否存在正在执行
bgsave/bgrewriteaof
的子进程,如果存在则bgrewriteaof
命令直接返回,如果存在bgsave
命令则等bgsave
执行完成后再执行。
前面曾介绍过,这个主要是基于性能方面的考虑。父进程执行fork操作创建子进程,这个过程中父进程是阻塞的。
父进程fork后,
bgrewriteaof
命令返回”Background append only file rewrite started”
信息并不再阻塞父进程,并可以响应其他命令。Redis的所有写命令依然写入AOF缓冲区,并根据
appendfsync
策略同步到硬盘,保证原有AOF机制的正确。由于fork操作使用写时复制技术,子进程只能共享fork操作时的内存数据。
由于父进程依然在响应命令,因此 Redis 使用 AOF 重写缓冲区(
aof_rewrite_buf
)保存这部分数据,防止新 AOF 文件生成期间丢失这部分数据。
也就是说,bgrewriteaof
执行期间,Redis 的写命令同时追加到aof_buf
和aof_rewirte_buf
两个缓冲区。子进程根据内存快照,按照命令合并规则写入到新的AOF文件。
子进程写完新的 AOF 文件后,向父进程发信号,父进程更新统计信息,具体可以通过
info persistence
查看。父进程把AOF重写缓冲区(
aof_rewrite_buf
)的数据写入到新的AOF文件,这样就保证了新AOF文件所保存的数据库状态和服务器当前状态一致。使用新的AOF文件替换老文件,完成AOF重写。
总结一句话就是: 开辟一个子进程对内存进行遍历转换成一系列 Redis 的操作指令,序列化到一个新的 AOF 日志文件中,序列化完毕后再将操作期间发生的 增量 AOF 日志 追加到这个新的 AOF 日志文件中,追加完毕后就立即替代旧的 AOF 日志文件了。
关于文件重写的流程,有两点需要特别注意:
- 重写由父进程fork子进程进行;
- 重写期间Redis执行的写命令,需要追加到新的AOF文件中,为此Redis引入了
aof_rewrite_buf
缓存。
启动时加载
前面提到过,当AOF开启时,Redis启动时会优先载入AOF文件来恢复数据;只有当AOF关闭时,才会载入RDB文件恢复数据。
当AOF开启,但AOF文件不存在时,即使RDB文件存在也不会加载(更早的一些版本可能会加载,但3.0不会)。
文件校验
与载入RDB文件类似,Redis载入AOF文件时,会对AOF文件进行校验,如果文件损坏,则日志中会打印错误,Redis启动失败。
但如果是AOF文件结尾不完整(机器突然宕机等容易导致文件尾部不完整),且aof-load-truncated
参数开启,则日志中会输出警告,Redis忽略掉AOF文件的尾部,启动成功。
aof-load-truncated
参数默认是开启的。
伪客户端
因为 Redis 的命令只能在客户端上下文中执行,而载入AOF文件时命令是直接从文件中读取的,并不是由客户端发送;
因此Redis服务器在载入AOF文件之前,会创建一个没有网络连接的客户端,之后用它来执行AOF文件中的命令,命令执行的效果与带网络连接的客户端完全一样。
Redis 4.0 混合持久化
重启 Redis 时,我们很少使用 rdb
来恢复内存状态,因为会丢失大量数据。我们通常使用 AOF 日志重放,但是重放 AOF 日志性能相对 rdb
来说要慢很多,这样在 Redis 实例很大的情况下,启动需要花费很长的时间。
Redis 4.0 为了解决这个问题,带来了一个新的持久化选项——混合持久化。将 rdb
文件的内容和增量的 AOF 日志文件存在一起。这里的 AOF 日志不再是全量的日志,而是 自持久化开始到持久化结束 的这段时间发生的增量 AOF 日志,通常这部分 AOF 日志很小:
于是在 Redis 重启的时候,可以先加载 rdb
的内容,然后再重放增量 AOF 日志就可以完全替代之前的 AOF 全量文件重放,重启效率因此大幅得到提升。
三、方案选择与常见问题
RDB和AOF的优缺点
RDB持久化
- 优点:RDB文件紧凑,体积小,网络传输快,适合全量复制;恢复速度比AOF快很多。当然,与AOF相比,RDB最重要的优点之一是对性能的影响相对较小。
- 缺点:RDB文件的致命缺点在于其数据快照的持久化方式决定了必然做不到实时持久化,而在数据越来越重要的今天,数据的大量丢失很多时候是无法接受的,因此AOF持久化成为主流。此外,RDB文件需要满足特定格式,兼容性差(如老版本的Redis不兼容新版本的RDB文件)。
AOF持久化
- 与RDB持久化相对应,AOF的优点在于支持秒级持久化、兼容性好,缺点是文件大、恢复速度慢、对性能影响大。
持久化策略选择
在介绍持久化策略之前,首先要明白无论是RDB还是AOF,持久化的开启都是要付出性能方面代价的:对于RDB持久化,一方面是bgsave在进行fork操作时Redis主进程会阻塞,另一方面,子进程向硬盘写数据也会带来IO压力;对于AOF持久化,向硬盘写数据的频率大大提高(everysec策略下为秒级),IO压力更大,甚至可能造成AOF追加阻塞问题(后面会详细介绍这种阻塞),此外,AOF文件的重写与RDB的bgsave类似,会有fork时的阻塞和子进程的IO压力问题。相对来说,由于AOF向硬盘中写数据的频率更高,因此对Redis主进程性能的影响会更大。
在实际生产环境中,根据数据量、应用对数据的安全要求、预算限制等不同情况,会有各种各样的持久化策略;如完全不使用任何持久化、使用RDB或AOF的一种,或同时开启RDB和AOF持久化等。此外,持久化的选择必须与Redis的主从策略一起考虑,因为主从复制与持久化同样具有数据备份的功能,而且主机master和从机slave可以独立的选择持久化方案。
下面分场景来讨论持久化策略的选择,下面的讨论也只是作为参考,实际方案可能更复杂更具多样性。
如果Redis中的数据完全丢弃也没有关系(如Redis完全用作DB层数据的cache),那么无论是单机,还是主从架构,都可以不进行任何持久化。
在单机环境下(对于个人开发者,这种情况可能比较常见),如果可以接受十几分钟或更多的数据丢失,选择RDB对Redis的性能更加有利;如果只能接受秒级别的数据丢失,应该选择AOF。
但在多数情况下,我们都会配置主从环境,slave的存在既可以实现数据的热备,也可以进行读写分离分担Redis读请求,以及在master宕掉后继续提供服务。在这种情况下,一种可行的做法是:
- master:完全关闭持久化(包括RDB和AOF),这样可以让master的性能达到最好
- slave:关闭RDB,开启AOF(如果对数据安全要求不高,开启RDB关闭AOF也可以),并定时对持久化文件进行备份(如备份到其他文件夹,并标记好备份的时间);
然后关闭AOF的自动重写,然后添加定时任务,在每天Redis闲时(如凌晨12点)调用bgrewriteaof。
这里需要解释一下,为什么开启了主从复制,可以实现数据的热备份,还需要设置持久化呢?因为在一些特殊情况下,主从复制仍然不足以保证数据的安全,例如:
- master和slave进程同时停止:考虑这样一种场景,如果master和slave在同一栋大楼或同一个机房,则一次停电事故就可能导致master和slave机器同时关机,Redis进程停止;如果没有持久化,则面临的是数据的完全丢失。
- master误重启:考虑这样一种场景,master服务因为故障宕掉了,如果系统中有自动拉起机制(即检测到服务停止后重启该服务)将master自动重启,由于没有持久化文件,那么master重启后数据是空的,slave同步数据也变成了空的;如果master和slave都没有持久化,同样会面临数据的完全丢失。需要注意的是,即便是使用了哨兵(关于哨兵后面会有文章介绍)进行自动的主从切换,也有可能在哨兵轮询到master之前,便被自动拉起机制重启了。因此,应尽量避免“自动拉起机制”和“不做持久化”同时出现。
异地灾备:上述讨论的几种持久化策略,针对的都是一般的系统故障,如进程异常退出、宕机、断电等,这些故障不会损坏硬盘。但是对于一些可能导致硬盘损坏的灾难情况,如火灾地震,就需要进行异地灾备。例如对于单机的情形,可以定时将RDB文件或重写后的AOF文件,通过scp拷贝到远程机器,如阿里云、AWS等;对于主从的情形,可以定时在master上执行bgsave,然后将RDB文件拷贝到远程机器,或者在slave上执行bgrewriteaof重写AOF文件后,将AOF文件拷贝到远程机器上。一般来说,由于RDB文件文件小、恢复快,因此灾难恢复常用RDB文件;异地备份的频率根据数据安全性的需要及其他条件来确定,但最好不要低于一天一次。
某厂的实践
- 如果Enable AOF ,好处是在最恶劣情况下也只会丢失不超过两秒数据,启动脚本较简单只load自 己的AOF文件就可以了,代价一是带来了持续的IO,二是AOF rewrite 的最后将 rewrite 过程中产 生的新数据写到新文件造成的阻塞几乎是不可避免的。只要硬盘许可,应该尽量减少AOF rewrite 的频率,AOF重写的基础大小默认值64M太小了,可以设到5G以上,默认超过原大小100%大小重 写可以改到适当的数值。
- 如果不Enable AOF ,仅靠 Master-Slave Repllcation 实现高可用性也可以,能省掉一大笔IO,也 减少了rewrite时带来的系统波动。代价是如果Master/Slave 同时倒掉,会丢失十几分钟的数据, 启动脚本也要比较两个 Master/Slave 中的 RDB文件,载入较新的那个,微博就是这种架构。
fork阻塞:CPU的阻塞
在Redis的实践中,众多因素限制了Redis单机的内存不能过大,例如:
- 当面对请求的暴增,需要从库扩容时,Redis内存过大会导致扩容时间太长;
- 当主机宕机时,切换主机后需要挂载从库,Redis内存过大导致挂载速度过慢;
- 以及持久化过程中的fork操作,下面详细说明。
首先说明一下fork操作:
父进程通过fork操作可以创建子进程;子进程创建后,父子进程共享代码段,不共享进程的数据空间,但是子进程会获得父进程的数据空间的副本。在操作系统fork的实际实现中,基本都采用了写时复制技术,即在父/子进程试图修改数据空间之前,父子进程实际上共享数据空间;但是当父/子进程的任何一个试图修改数据空间时,操作系统会为修改的那一部分(内存的一页)制作一个副本。
虽然fork时,子进程不会复制父进程的数据空间,但是会复制内存页表(页表相当于内存的索引、目录);父进程的数据空间越大,内存页表越大,fork时复制耗时也会越多。
在Redis中,无论是RDB持久化的bgsave,还是AOF重写的bgrewriteaof,都需要fork出子进程来进行操作。如果Redis内存过大,会导致fork操作时复制内存页表耗时过多;而Redis主进程在进行fork时,是完全阻塞的,也就意味着无法响应客户端的请求,会造成请求延迟过大。
对于不同的硬件、不同的操作系统,fork操作的耗时会有所差别,一般来说,如果Redis单机内存达到了10GB,fork时耗时可能会达到百毫秒级别(如果使用Xen虚拟机,这个耗时可能达到秒级别)。因此,一般来说Redis单机内存一般要限制在10GB以内;不过这个数据并不是绝对的,可以通过观察线上环境fork的耗时来进行调整。观察的方法如下:执行命令info stats,查看latest_fork_usec的值,单位为微秒。
为了减轻fork操作带来的阻塞问题,除了控制Redis单机内存的大小以外,还可以适度放宽AOF重写的触发条件、选用物理机或高效支持fork操作的虚拟化技术等,例如使用Vmware或KVM虚拟机,不要使用Xen虚拟机。
AOF追加阻塞:硬盘的阻塞
前面提到过,在AOF中,如果AOF缓冲区的文件同步策略为everysec,则:在主线程中,命令写入aof_buf后调用系统write操作,write完成后主线程返回;fsync同步文件操作由专门的文件同步线程每秒调用一次。
这种做法的问题在于,如果硬盘负载过高,那么fsync操作可能会超过1s;如果Redis主线程持续高速向aof_buf写入命令,硬盘的负载可能会越来越大,IO资源消耗更快;如果此时Redis进程异常退出,丢失的数据也会越来越多,可能远超过1s。
为此,Redis的处理策略是这样的:主线程每次进行AOF会对比上次fsync成功的时间;如果距上次不到2s,主线程直接返回;如果超过2s,则主线程阻塞直到fsync同步完成。因此,如果系统硬盘负载过大导致fsync速度太慢,会导致Redis主线程的阻塞;此外,使用everysec配置,AOF最多可能丢失2s的数据,而不是1s。
AOF追加阻塞问题定位的方法:
监控info Persistence中的aof_delayed_fsync:当AOF追加阻塞发生时(即主线程等待fsync而阻塞),该指标累加。
AOF阻塞时的Redis日志:
Asynchronous AOF fsync is taking too long (disk is busy?). Writing the AOF buffer without waiting for fsync to complete, this may slow down Redis.
如果AOF追加阻塞频繁发生,说明系统的硬盘负载太大;可以考虑更换IO速度更快的硬盘,或者通过IO监控分析工具对系统的IO负载进行分析,如iostat(系统级io)、iotop(io版的top)、pidstat等。