DevOps知识中心
DevOps知识中心

PostgreSQL HA 集群中常见的故障转移和连接错误故障排除

导航并解决 PostgreSQL 高可用性故障转移和连接的常见问题。本综合指南深入探讨了应用程序无法通过连接池器重新连接、副本滞后过多以及主库转换停滞等挑战。学习如何利用 `pg_stat_replication`、`patronictl` 和网络工具进行实用的调试技术。探索可操作的解决方案、配置最佳实践以及关键的监控策略,以确保您的 PostgreSQL 高可用集群实现平稳、自动的主库转换和无缝的应用程序连接。

35 浏览量

PostgreSQL 高可用集群常见故障转移和连接错误故障排除

PostgreSQL 高可用 (HA) 集群旨在确保即使在硬件故障、网络中断或其他意外中断的情况下,数据库也能持续运行。任何 HA 设置的关键组成部分是故障转移机制,当当前主数据库不可用时,该机制会自动提升副本成为新的主数据库。虽然强大,但故障转移过程有时会遇到问题,导致应用程序停机或数据不一致。

本文深入探讨 PostgreSQL HA 集群中常见的故障转移和连接错误。我们将探讨典型问题,例如应用程序通过连接池无法重新连接、过度的副本滞后影响数据一致性以及主数据库转换停滞。对于每个问题,我们将讨论根本原因、使用标准 PostgreSQL 工具和系统实用程序进行有效调试的技巧,以及确保平稳、自动的主数据库转换和无缝应用程序连接的可行解决方案。通过主动理解和解决这些挑战,您可以维护 PostgreSQL HA 环境的可靠性和性能。

理解 PostgreSQL HA 基础知识

在深入故障排除之前,有必要简要回顾一下 PostgreSQL HA 集群的核心组件:

  • 主/副本架构: 主数据库处理所有写操作,而一个或多个副本通过流复制异步或同步接收更改。副本是只读的,但在故障转移期间是提升的候选者。
  • 故障转移管理器: Patroni、pg_auto_failover 或 Corosync/Pacemaker 等工具监视主数据库的运行状况,检测故障,从可用副本中选举新的主数据库,并管理提升过程。它们还负责重新配置其他副本以跟随新的主数据库。
  • 连接池: 应用程序通常连接到 PostgreSQL 连接池(例如 PgBouncer、Odyssey),而不是直接连接到数据库。然后,连接池将查询路由到当前的主数据库,提供连接多路复用、负载平衡,并可能将主数据库的实际网络地址从应用程序中抽象出来。这种抽象在故障转移期间至关重要。

常见的故障转移和连接问题及其解决方案

1. 故障转移期间的连接池故障

故障转移后最常见的问题之一是应用程序无法重新连接到新提升的主数据库,尽管数据库本身可以运行。这通常指向连接池或客户端缓存存在问题。

问题症状:

  • 应用程序报告数据库连接错误(FATAL: database "mydb" does not existconnection refusedserver closed the connection unexpectedly)。
  • 通过连接池的现有连接似乎卡住或尝试连接到旧主数据库的 IP。
  • 即使故障转移完成后,新连接也失败。

根本原因:

  • 连接池中的陈旧连接: 连接池可能持有与主数据库的打开连接并尝试重用它们,这会导致旧主数据库关闭或现在是副本时出现错误。
  • 不正确的连接池配置: 连接池可能未配置为正确检测并切换到新的主数据库,或者其 server_reset_query 可能丢失/不正确。
  • DNS 缓存: 如果您的应用程序或连接池使用 DNS 条目解析主数据库的地址,则陈旧的 DNS 缓存条目(本地或 DNS 解析器级别)会导致它们继续尝试连接到旧 IP。
  • 缺乏客户端重试逻辑: 应用程序可能没有内置健壮的重试机制来处理故障转移期间的瞬时连接问题。

调试步骤:

  1. 检查连接池状态: 访问连接池的控制台(例如 psql -p 6432 pgbouncer -U pgbouncer),并检查其 SHOW SERVERSSHOW CLIENTSSHOW DATABASES 输出,以查看它是否了解新的主数据库以及它是否与正确的地址建立了活动连接。
  2. 验证网络连接: 从连接池主机,pingtelnet 到新的主数据库的 PostgreSQL 端口(telnet new_primary_ip 5432)。
  3. 检查连接池日志: 查看连接池的日志,查找与连接到数据库或尝试解析主机名相关的错误消息。
  4. 检查 DNS 解析: 在连接池主机上使用 dignslookup,确保您的主服务端点(例如 primary.mydomain.com)的 DNS 记录解析到新的主数据库的 IP 地址。

解决方案:

  • 配置 server_reset_query 确保您的连接池有一个 server_reset_query(例如 DISCARD ALL;),以便在连接返回到池中并在被另一个客户端重用之前清理会话状态。这对于使用临时对象或会话特定设置的环境至关重要。
  • max_db_connectionsmax_user_connections 设置适当的限制,以防止连接池占用新主数据库的所有连接,从而可能导致其他服务饥饿。
  • 重新加载/重启连接池: 在某些情况下,可能需要优雅地重新加载或重启连接池以强制其获取新配置或重新解析 DNS。这应该是最后的手段,最好由您的故障转移管理器自动执行。
  • 较短的 DNS TTL: 如果使用基于 DNS 的服务发现,为您的主数据库 DNS 记录(例如 30-60 秒)配置非常短的生存时间 (TTL),以最大限度地减少 DNS 缓存的影响。
  • 客户端重试: 在您的应用程序代码中实现指数退避和重试逻辑。这使得应用程序在故障转移期间更能抵抗瞬时连接问题。
  • 虚拟 IP (VIP): 考虑使用 HA 解决方案管理的虚拟 IP。VIP 随主数据库一起移动,因此应用程序连接到静态 IP,而底层数据库服务器会透明地更改。
# 示例 PgBouncer 配置片段
[databases]
mydb = host=primary_cluster_service_ip port=5432 dbname=mydb
# 或使用由您的故障转移管理器更新的主机名
# mydb = host=primary.mydomain.com port=5432 dbname=mydb

[pgbouncer]
listen_addr = 0.0.0.0
listen_port = 6432
auth_type = md5
auth_file = /etc/pgbouncer/userlist.txt
pool_mode = session
server_reset_query = DISCARD ALL;
server_fast_close = 1 # 如果服务器无响应,则快速关闭连接
server_check_delay = 10 # 每 10 秒检查一次服务器运行状况

2. 过度的副本滞后阻碍故障转移

副本滞后发生在备用数据库落后于主数据库时,这意味着它尚未重放主数据库发送的所有 WAL (Write-Ahead Log) 记录。在故障转移期间,提升一个滞后严重的副本可能导致数据丢失,或者如果 HA 管理器等待其赶上,则会大大延迟故障转移过程。

问题症状:

  • 监控警报指示副本滞后严重(例如,按字节或时间)。
  • 故障转移管理器因超出配置的滞后阈值而拒绝提升副本。
  • 故障转移后,应用程序观察到旧主数据库中存在的数据丢失。

根本原因:

  • 高主数据库写入负载: 主数据库持续高强度的写入操作可能会压倒副本的跟上能力,尤其是当副本的硬件(I/O、CPU)较差时。
  • 网络延迟/带宽: 主数据库和副本之间的缓慢或拥塞的网络链路会延迟 WAL 传输。
  • 缓慢的副本 I/O: 副本的磁盘子系统可能不够快,无法有效地写入和重放 WAL 记录。
  • wal_level 设置: 如果 wal_level 未设置为 replica 或更高,则不会生成复制所需的信息。
  • max_wal_senders 主数据库上 max_wal_senders 不足会限制活动复制槽或并发复制连接的数量,影响吞吐量。
  • archive_command / restore_command 问题: 如果使用 WAL 归档和恢复,这些命令(例如,缓慢的归档存储)的问题会导致延迟。

调试步骤:

  1. 监视 pg_stat_replication 此视图提供有关复制状态的实时信息,包括 write_lagflush_lagreplay_lag
  2. 比较 LSN: 手动比较主数据库上的当前 WAL LSN 和副本上最后重放的 LSN。
  3. 检查系统资源: 在主数据库和副本上使用 iostatvmstattop 来识别 I/O 瓶颈、CPU 饱和或内存压力。
  4. 网络诊断: 使用 iperf 测试主数据库和副本之间的网络性能。

解决方案:

  • 增加 max_wal_senders 在主数据库上,增加 max_wal_senders(例如 max_wal_senders = 10)以允许更多的并发复制连接。需要重启。
  • 改进副本硬件: 如果 I/O 或 CPU 是瓶颈,请考虑升级副本的硬件或优化其存储配置(例如,更快的 SSD、独立的 WAL 磁盘)。
  • 调整 wal_compression 在主数据库上,将 wal_compression = on(PostgreSQL 14+)设置为可以减少 WAL 卷,可能提高网络受限链接上的复制速度,但会以主数据库 CPU 为代价。
  • 调整 wal_keep_sizewal_keep_segments 确保在主数据库上保留足够的 WAL 文件,以防止副本不同步并需要完整的基本备份。
  • synchronous_commit 虽然 synchronous_commit = on 提供了更强的数据库持久性保证,但它会增加主数据库上写入的延迟。对于特定的表或事务,如果需要严格的同步复制,可以使用 remote_writeremote_apply,但要仔细评估性能影响。
  • 监视和警报: 实现对 pg_stat_replication 的强大监视,并在滞后超过可接受阈值时设置警报。
-- 在主数据库上:检查当前的 WAL LSN
SELECT pg_current_wal_lsn();

-- 在副本上:检查复制状态和滞后
SELECT
    usename, application_name, client_addr, state, sync_state,
    pg_wal_lsn_diff(pg_current_wal_lsn(), replay_lsn) AS replay_lag_bytes,
    EXTRACT(EPOCH FROM (now() - pg_last_wal_replay_lsn())) AS replay_lag_seconds
FROM pg_stat_replication;

3. 主数据库转换失败或挂起

自动故障转移应快速可靠地提升副本。当此过程停止或完全失败时,可能导致停机时间延长并需要手动干预。

问题症状:

  • 旧主数据库关闭后,没有选举或提升新的主数据库。
  • 集群进入脑裂状态,两个节点都认为自己是主数据库。
  • 故障转移管理器日志显示与仲裁、领导者选举或数据库提升相关的错误。
  • 由于没有主数据库可用,应用程序保持停机状态。

根本原因:

  • 脑裂: 当网络分区隔离节点时发生,导致多个主数据库或不确定的主数据库选举。这是最危险的情况,可能导致数据分歧。
  • 仲裁问题: 故障转移管理器可能无法在其节点之间达成仲裁(多数投票),从而阻止其做出提升决定。在节点数量为偶数的集群或节点数量太少的集群中很常见。
  • 网络隔离: 故障转移管理器节点无法相互或与 PostgreSQL 实例通信,从而阻止健康检查或命令执行。
  • 权限不足: 故障转移管理器的用户可能缺少必要的 PostgreSQL 权限(例如 pg_promote())或系统级权限(例如,管理 VIP)。
  • 配置错误: restore_commandprimary_conninfo 或故障转移管理器配置中的其他设置不正确。

调试步骤:

  1. 检查故障转移管理器日志: 这是主要信息来源。对于 Patroni,查看其特定日志(通常是 journalctl -u patronipatroni.yml 中配置的日志文件)。对于 pg_auto_failover,请检查 journalctl -u pgautofailover_monitor 和代理日志。
  2. 验证仲裁状态: 对于 Patroni,使用 patronictl list 查看所有集群成员的状态并确认选定的领导者。对于 pg_auto_failover,请检查 pg_autoctl show state
  3. 网络连接: 在所有 HA 节点和分布式共识存储(例如 Patroni 的 Etcd、Consul、ZooKeeper)之间执行 pingtraceroutetelnet 检查。
  4. 系统日志: 检查所有节点上的 journalctl -xe/var/log/syslog,了解可能干扰故障转移管理器的任何系统级错误(例如,磁盘已满、内存问题)。
  5. PostgreSQL 日志: 检查备选副本上有关提升的 PostgreSQL 日志,查看它在提升尝试期间是否报告任何问题。

解决方案:

  • 实现 Fencing/STONITH: (Shoot The Other Node In The Head)至关重要,通过确保在提升新主数据库之前真正关闭失败的主数据库来防止脑裂。这通常由故障转移管理器处理。
  • 奇数节点用于仲裁: 始终为您的故障转移管理器的分布式共识存储(Etcd、Consul、ZooKeeper)部署奇数个投票节点(例如 3、5),以确保即使一个或两个节点发生故障,也能始终达成仲裁。
  • 强大的网络配置: 确保冗余网络路径、允许在必要端口(PostgreSQL、共识存储、Patroni API)上进行通信的正确防火墙规则,以及一致的主机名解析。
  • 权限检查: 验证运行故障转移管理器的用户帐户是否具有执行提升和重新配置任务的所有必要的 PostgreSQL 权限和系统权限。
  • 审查故障转移管理器配置: 仔细检查 patroni.ymlpg_auto_failover 设置是否存在拼写错误、不正确路径或配置错误的 restore_command
  • 手动干预(谨慎): 在严重挂起的故障转移中,可能需要手动提升或重新加入节点。务必极其谨慎,在提升新主数据库之前确保旧主数据库已完全关闭,以避免数据分歧。
# 示例:检查 Patroni 集群状态
patronictl -c /etc/patroni/patroni.yml list

# 预期输出(示例):
# + Cluster: my_ha_cluster (6979219803154942080) ------+----+-----------+----+-----------+
# | Member  | Host         | Role    | State    | TL | Lag |
# +---------+--------------+---------+----------+----+-----+
# | node1   | 192.168.1.10 | Leader  | running  | 2  |     |
# | node2   | 192.168.1.11 | Replica | running  | 2  | 0   |
# | node3   | 192.168.1.12 | Replica | running  | 2  | 0   |
# +---------+--------------+---------+----------+----+-----+

4. 网络连接和 DNS 解析问题

许多 HA 问题的根源在于基本网络问题,导致节点无法通信或应用程序无法找到正确的数据库端点。

问题症状:

  • 应用程序或集群节点之间出现 connection refusedno route to host 错误。
  • 故障转移管理器报告节点不可达。
  • 依赖 DNS 的服务无法正确解析主数据库的主机名。

根本原因:

  • 防火墙规则: 配置不正确的防火墙规则(例如 iptables、安全组)阻止 PostgreSQL 端口 (5432)、故障转移管理器端口或共识存储端口。
  • 网络分区: 物理或逻辑网络分割阻止了节点子集之间的通信。
  • 路由错误: 一个或多个节点上的网络路由配置不正确。
  • DNS 缓存/配置错误: 如第 1 部分所述,陈旧的 DNS 记录或不正确的 DNS 服务器配置可能导致流量被错误地重定向。
  • 虚拟 IP (VIP) 迁移失败: 如果使用 VIP,它可能无法迁移到新的主数据库,导致服务无法访问。

调试步骤:

  1. 基本连接: 在所有节点之间使用 ping <target_ip>
  2. 端口连接: 使用 telnet <target_ip> <port>(例如 telnet 192.168.1.10 5432)来验证 PostgreSQL 端口是否已打开并正在侦听。
  3. 防火墙检查: 在每个节点上,检查活动的防火墙规则(sudo iptables -Lsudo ufw status 或云提供商的安全组配置)。
  4. 网络接口状态: 使用 ip addr showifconfig 确保网络接口已启动并正确配置。
  5. DNS 解析: 使用 dig <hostname>nslookup <hostname> 来验证从相关节点(应用程序服务器、连接池、HA 节点)进行的主机名解析。

解决方案:

  • 审查防火墙规则: 确保为 PostgreSQL (5432)、故障转移管理器的控制平面(例如 Patroni API 的 8008,pg_auto_failover 的 8000/8001)以及分布式共识存储(例如 Etcd:2379/2380,Consul:8300/8301/8302)打开了必要的端口。
  • 一致的网络: 确保所有节点都在同一子网中,或者如果跨越多个子网,则配置了正确的路由。
  • DNS 更新: 在故障转移过程作为一部分自动更新 DNS,或使用较短的 TTL。出于这个原因,VIP 通常是首选。
  • VIP 管理: 如果使用 VIP,请确保 VIP 管理工具(例如 Keepalived、云提供商的 IP 管理)已正确配置并正常工作。明确测试 VIP 迁移。
  • 基于主机的访问: 为了在小型集群中简化,请确保 pg_hba.conf 允许来自所有潜在主/副本 IP 地址和连接池 IP 的连接。

故障排除的必备工具

  • psql 用于运行 SQL 查询,如 pg_stat_replicationpg_current_wal_lsn()SHOW * 命令。
  • 故障转移管理器 CLI: patronictlpg_autoctl 用于查询集群状态、日志和启动操作。
  • 系统监视: Prometheus + Grafana、Zabbix、Nagios 或云提供商监视等工具,用于实时了解资源利用率、复制滞后和服务状态。
  • journalctl / tail -f 用于查看系统和应用程序日志。
  • 网络实用程序: pingtraceroutetelnetiperfnetstatdignslookup 用于诊断连接问题。
  • dmesg 用于内核级错误,特别是与磁盘 I/O 或 OOM (Out Of Memory) killer 相关的错误。

预防故障转移问题的最佳实践

  • 定期故障转移测试: 定期模拟主数据库故障并观察故障转移过程。这可以建立信心并暴露配置错误。
  • 强大的监视和警报: 监视关键指标,如副本滞后、主数据库状态、连接池运行状况和系统资源。设置任何偏差的警报。
  • 正确的连接池配置: 确保配置了 server_reset_querypool_mode 适合您的应用程序,并启用了运行状况检查。
  • 调整复制参数: 根据您的性能和持久性要求仔细配置 wal_levelmax_wal_senderswal_keep_sizesynchronous_commit
  • 记录您的 HA 设置: 清晰地记录您的 HA 架构、故障转移管理器配置、网络设置和恢复过程。
  • 使用专用的故障转移管理器: 依靠 Patroni 或 pg_auto_failover 等成熟的解决方案,而不是自定义脚本来执行关键的 HA 逻辑。
  • 专用的共识存储: 如果使用 Patroni 等管理器,请为其分布式共识存储(Etcd、Consul)部署一个单独的、高可用的集群,以避免单点故障。

结论

构建和维护一个健壮的 PostgreSQL HA 集群需要仔细的规划、配置和主动监视。虽然自动故障转移显著减少了停机时间,但与连接池、副本滞后和故障转移过程本身相关的常见问题仍然可能发生。通过理解典型症状和根本原因,并利用本指南中概述的调试技术和解决方案,您可以有效地排除故障并预防这些问题。

请记住,定期测试您的故障转移机制,结合全面的监视和遵守最佳实践,对于确保您的 PostgreSQL 高可用性设置的弹性至关重要。这种主动的方法确保您的数据库保持可用,并且您的应用程序即使在面对意外挑战时也能保持一致的性能。