PostgreSQL HA集群常见故障转移与连接错误排查指南

PostgreSQL高可用性（HA）集群可能以两种不同方式失效。有时数据库故障转移本身会中断：没有副本被提升、两个节点对主节点存在分歧，或者新主节点无法接受写入。其他时候数据库本身正常，但由于连接池、DNS记录、虚拟IP、防火墙规则或客户端重试循环未能跟随提升，应用程序仍然无法连接。

当您遇到故障时，请快速区分这些层面。首先问：是否恰好有一个可写入的主节点？然后问：连接池能否访问它？接着问：应用程序能否访问连接池或服务端点？按此顺序可以避免在集群管理器仍卡在领导者选举时，浪费大量时间查看应用程序日志。

理解PostgreSQL HA基础

在深入排查之前，有必要简要回顾PostgreSQL HA集群的核心组件：

• 主/副本架构： 主数据库处理所有写操作，而一个或多个副本通过流复制异步或同步接收变更。副本是只读的，但在故障转移期间可作为提升候选。
• 故障转移管理器： 像Patroni、pg_auto_failover或Corosync/Pacemaker这样的工具监控主节点的健康状态，检测故障，从可用副本中选举新主节点，并管理提升过程。它们还处理重新配置其他副本以跟随新主节点。
• 连接池： 应用程序通常连接到PostgreSQL连接池（例如PgBouncer、Odyssey），而不是直接连接到数据库。连接池随后将查询路由到当前主节点，提供连接复用、负载均衡，并可能向应用程序隐藏主节点的实际网络地址。这种抽象在故障转移期间至关重要。

常见故障转移和连接问题及其解决方案

1. 故障转移期间的连接池故障

故障转移后最常见的问题之一是应用程序无法重新连接到新提升的主节点，尽管数据库本身正常运行。这通常指向连接池或客户端缓存的问题。

问题症状：

• 应用程序报告数据库连接错误（FATAL: database "mydb" does not exist、connection refused、server closed the connection unexpectedly）。
• 通过连接池的现有连接似乎卡住，或尝试连接到旧主节点的IP。
• 即使故障转移完成，新连接也失败。

根本原因：

• 连接池中的陈旧连接： 连接池可能保持与旧主节点的开放连接并尝试重用它们，导致旧主节点宕机或现在成为副本时出错。
• 连接池配置不当： 连接池可能未正确配置以检测并切换到新主节点，或者其server_reset_query可能缺失或不正确。
• DNS缓存： 如果您的应用程序或连接池使用DNS条目解析主节点地址，陈旧的DNS缓存条目（本地或DNS解析器级别）可能导致它们继续尝试连接到旧IP。
• 缺乏客户端重试逻辑： 应用程序可能未构建健壮的重试机制来处理故障转移期间的瞬态连接问题。

调试步骤：

1. 检查连接池状态： 访问连接池的控制台（例如psql -p 6432 pgbouncer -U pgbouncer），检查其SHOW SERVERS、SHOW CLIENTS、SHOW DATABASES输出，看它是否知道新主节点以及是否有到正确地址的活动连接。
2. 验证网络连接： 从连接池主机，ping和telnet到新主节点的PostgreSQL端口（telnet new_primary_ip 5432）。
3. 检查连接池日志： 查看连接池日志中与连接到数据库或尝试解析主机名相关的错误消息。
4. 检查DNS解析： 在连接池主机上使用dig或nslookup确保主服务端点的DNS记录（例如primary.mydomain.com）解析为新主节点的IP地址。

解决方案：

• 配置server_reset_query： 确保连接池有server_reset_query（例如DISCARD ALL;），以便在连接返回池中并在被另一个客户端重用之前清理会话状态。这对于使用临时对象或会话特定设置的环境至关重要。
• max_db_connections和max_user_connections： 设置适当的限制，防止连接池占用新主节点的所有连接，从而可能饿死其他服务。
• 重新加载/重启连接池： 在某些情况下，可能需要优雅地重新加载或重启连接池，以强制其获取新配置或重新解析DNS。这应是最后的手段，最好由故障转移管理器自动化。
• 较短的DNS TTL： 如果使用基于DNS的服务发现，为主节点的DNS记录配置非常短的生存时间（TTL）（例如30-60秒），以最小化DNS缓存的影响。
• 客户端重试： 在应用程序代码中实现指数退避和重试逻辑。这使应用程序更能容忍故障转移期间的瞬态连接问题。
• 虚拟IP（VIP）： 考虑使用由HA解决方案管理的虚拟IP。VIP随主节点移动，因此应用程序连接到静态IP，底层数据库服务器透明地更改。

# 示例PgBouncer配置片段
[databases]
mydb = host=primary_cluster_service_ip port=5432 dbname=mydb
# 或者使用由故障转移管理器更新的主机名
# mydb = host=primary.mydomain.com port=5432 dbname=mydb

[pgbouncer]
listen_addr = 0.0.0.0
listen_port = 6432
auth_type = md5
auth_file = /etc/pgbouncer/userlist.txt
pool_mode = session
server_reset_query = DISCARD ALL;
server_fast_close = 1 # 如果服务器无响应，快速关闭连接
server_check_delay = 10 # 每10秒检查服务器健康状态

2. 过度的副本延迟阻碍故障转移

副本延迟发生在备用数据库落后于主节点时，意味着它尚未重放主节点发送的所有WAL（预写日志）记录。在故障转移期间，提升一个高度延迟的副本可能导致数据丢失，或者如果HA管理器等待其赶上，会显著延迟故障转移过程。

问题症状：

• 监控警报指示高副本延迟（例如以字节或时间计）。
• 故障转移管理器因超过配置的延迟阈值而拒绝提升副本。
• 故障转移后，应用程序观察到旧主节点上存在的数据丢失。

根本原因：

• 高主节点写入负载： 主节点上持续的高写入操作量可能压垮副本的跟进能力，特别是如果副本的硬件（I/O、CPU）较差。
• 网络延迟/带宽： 主节点和副本之间缓慢或拥塞的网络链路可能延迟WAL传输。
• 副本I/O缓慢： 副本的磁盘子系统可能不够快，无法高效写入和重放WAL记录。
• wal_level设置： 如果wal_level未设置为replica或更高，则不会生成流复制所需的信息。
• max_wal_senders： 主节点上max_wal_senders不足可能限制活动复制槽或并发复制连接的数量，影响吞吐量。
• archive_command / restore_command问题： 如果使用WAL归档和恢复，这些命令的问题（例如归档存储缓慢）可能导致延迟。

调试步骤：

1. 监控pg_stat_replication： 此视图提供关于复制状态的实时信息，包括write_lag、flush_lag和replay_lag。
2. 比较LSN： 手动比较主节点上的当前WAL LSN与副本上最后重放的LSN。
3. 检查系统资源： 在主节点和副本上使用iostat、vmstat、top识别I/O瓶颈、CPU饱和或内存压力。
4. 网络诊断： 使用iperf测试主节点和副本之间的网络性能。

解决方案：

• 增加max_wal_senders： 在主节点上，增加max_wal_senders（例如max_wal_senders = 10）以允许更多并发复制连接。需要重启。
• 改进副本硬件： 如果I/O或CPU是瓶颈，考虑升级副本的硬件或优化其存储配置（例如更快的SSD、单独的WAL磁盘）。
• 调整wal_compression： 在主节点上，设置wal_compression = on可以减少WAL体积，可能提高网络受限链路上的复制速度，但会消耗主节点CPU。
• 调整wal_keep_size或wal_keep_segments： 确保主节点上保留足够的WAL文件，防止副本失去同步并需要完整的基础备份。
• synchronous_commit： 虽然synchronous_commit = on提供更强的数据持久性保证，但它会为主节点上的写入引入延迟。如果严格同步复制是必需的，对特定表或事务使用remote_write或remote_apply，但仔细评估性能影响。
• 监控和告警： 实施对pg_stat_replication的健壮监控，并为延迟超过可接受阈值时设置警报。

-- 在主节点上：检查当前WAL LSN
SELECT pg_current_wal_lsn();

-- 在主节点上：检查连接的备用节点和延迟
SELECT
    usename, application_name, client_addr, state, sync_state,
    pg_wal_lsn_diff(pg_current_wal_lsn(), replay_lsn) AS replay_lag_bytes,
    write_lag, flush_lag, replay_lag
FROM pg_stat_replication;

在备用节点上，使用：

SELECT
    pg_is_in_recovery() AS is_standby,
    pg_last_wal_receive_lsn(),
    pg_last_wal_replay_lsn(),
    now() - pg_last_xact_replay_timestamp() AS time_since_last_replay;

时间戳查询在空闲系统上可能具有误导性，因为可能没有最近的事务被重放。将其与LSN比较和工作负载上下文一起使用。

3. 失败或挂起的主节点转换

自动故障转移应快速可靠地提升副本。当此过程停滞或完全失败时，可能导致长时间停机并需要手动干预。

问题症状：

• 旧主节点宕机后，没有选举或提升新主节点。
• 集群进入脑裂状态，两个节点都认为自己是主节点。
• 故障转移管理器日志显示与仲裁、领导者选举或数据库提升相关的错误。
• 由于没有主节点可用，应用程序保持宕机。

根本原因：

• 脑裂： 当网络分区隔离节点时发生，导致多个主节点或模糊的主节点选举。这是最危险的情况，存在数据分歧的风险。
• 仲裁问题： 故障转移管理器可能无法在其节点之间达成仲裁（多数投票），从而阻止其做出关于提升的决定。这在节点数为偶数或节点数过少的集群中很常见。
• 网络隔离： 故障转移管理器节点无法相互通信或与PostgreSQL实例通信，阻止健康检查或命令执行。
• 权限不足： 故障转移管理器的用户可能缺乏必要的PostgreSQL权限（例如pg_promote()）或系统级权限（例如管理VIP）。
• 配置错误： 故障转移管理器配置中的restore_command、primary_conninfo或其他设置不正确。

调试步骤：

1. 检查故障转移管理器日志： 这是主要信息来源。对于Patroni，查看其特定日志（通常是journalctl -u patroni或patroni.yml中配置的日志文件）。对于pg_auto_failover，检查journalctl -u pgautofailover_monitor和代理日志。
2. 验证仲裁状态： 对于Patroni，使用patronictl list查看所有集群成员的状态并确认选举的领导者。对于pg_auto_failover，检查pg_autoctl show state。
3. 网络连接： 在所有HA节点和分布式共识存储（例如Patroni的Etcd、Consul、ZooKeeper）之间执行ping、traceroute和telnet检查。
4. 系统日志： 在所有节点上检查journalctl -xe或/var/log/syslog，查找可能干扰故障转移管理器的任何系统级错误（例如磁盘满、内存问题）。
5. PostgreSQL日志： 检查候选副本上的PostgreSQL日志以进行提升，查看是否报告了提升尝试期间的任何问题。

解决方案：

• 实施Fencing/STONITH： Fencing对于防止脑裂至关重要，确保在提升新主节点之前，失败的主节点无法继续接受写入。这通常由故障转移管理器或基础设施层处理。
• 奇数节点以实现仲裁： 始终为故障转移管理器的分布式共识存储（Etcd、Consul、ZooKeeper）部署奇数个投票节点（例如3、5），以确保即使一个或两个节点失败也能始终达成仲裁。
• 健壮的网络配置： 确保冗余网络路径、允许必要端口（PostgreSQL、共识存储、Patroni API）通信的适当防火墙规则，以及一致的主机名解析。
• 权限检查： 验证运行故障转移管理器的用户帐户是否具有所有必要的PostgreSQL权限和系统权限，以执行提升和重新配置任务。
• 审查故障转移管理器配置： 仔细检查patroni.yml或pg_auto_failover设置中的拼写错误、不正确的路径或配置错误的restore_command。
• 手动干预（谨慎）： 在严重挂起的故障转移中，可能需要手动提升或重新加入节点。极其谨慎地进行，确保在提升新主节点之前完全关闭旧主节点，以避免数据分歧。

# 示例：检查Patroni集群状态
patronictl -c /etc/patroni/patroni.yml list

# 预期输出（示例）：
# + Cluster: my_ha_cluster (6979219803154942080) ------+----+-----------+----+-----------+
# | Member  | Host         | Role    | State    | TL | Lag |
# +---------+--------------+---------+----------+----+-----+
# | node1   | 192.168.1.10 | Leader  | running  | 2  |     |
# | node2   | 192.168.1.11 | Replica | running  | 2  | 0   |
# | node3   | 192.168.1.12 | Replica | running  | 2  | 0   |
# +---------+--------------+---------+----------+----+-----+

4. 网络连接和DNS解析问题

许多HA问题的根源是基本的网络问题，阻止节点通信或应用程序找到正确的数据库端点。

问题症状：

• 应用程序或集群节点之间出现connection refused或no route to host错误。
• 故障转移管理器报告节点不可达。
• 依赖DNS的服务无法正确解析主节点的主机名。

根本原因：

• 防火墙规则： 配置错误的防火墙规则（例如iptables、安全组）阻止PostgreSQL端口（5432）、故障转移管理器端口或共识存储端口。
• 网络分区： 物理或逻辑网络分裂阻止节点子集之间的通信。
• 路由错误： 一个或多个节点上配置错误的网络路由。
• DNS缓存/配置错误： 如第1节所述，陈旧的DNS记录或不正确的DNS服务器配置可能错误地引导流量。
• 虚拟IP（VIP）迁移失败： 如果使用VIP，它可能无法迁移到新主节点，使服务不可达。

调试步骤：

1. 基本连接： 在所有节点之间使用ping <target_ip>。
2. 端口连接： 使用telnet <target_ip> <port>（例如telnet 192.168.1.10 5432）验证PostgreSQL端口是否打开并监听。
3. 防火墙检查： 在每个节点上，检查活动防火墙规则（sudo iptables -L、sudo ufw status或云提供商安全组配置）。
4. 网络接口状态： 使用ip addr show或ifconfig确保网络接口已启动并正确配置。
5. DNS解析： 从相关节点（应用服务器、连接池、HA节点）使用dig <hostname>或nslookup <hostname>验证主机名解析。

解决方案：

• 审查防火墙规则： 确保为PostgreSQL（5432）、故障转移管理器控制平面（例如Patroni API的8008、pg_auto_failover的8000/8001）和分布式共识存储（例如Etcd：2379/2380、Consul：8300/8301/8302）开放必要端口。
• 一致的网络： 确保所有节点位于同一子网，或者如果跨越多个子网，则配置正确的路由。
• DNS更新： 将DNS更新作为故障转移过程的一部分自动化，或使用较短的TTL。VIP通常因此原因更受青睐。
• VIP管理： 如果使用VIP，确保VIP管理工具（例如Keepalived、云提供商的IP管理）已正确配置并工作。明确测试VIP迁移。
• 基于主机的访问： 对于较小的集群，为简单起见，确保pg_hba.conf允许来自所有潜在主/副本IP地址和连接池IP的连接。

故障排除的基本工具

• psql： 用于运行SQL查询，如pg_stat_replication、pg_current_wal_lsn()、SHOW *命令。
• 故障转移管理器CLI： patronictl、pg_autoctl用于查询集群状态、日志和启动操作。
• 系统监控： 像Prometheus + Grafana、Zabbix、Nagios或云提供商监控等工具，用于实时了解资源利用率、复制延迟和服务状态。
• journalctl / tail -f： 用于查看系统和应用程序日志。
• 网络工具： ping、traceroute、telnet、iperf、netstat、dig、nslookup用于诊断连接。
• dmesg： 用于内核级错误，特别是与磁盘I/O或OOM（内存不足）杀手相关的错误。

快速事件检查清单

当HA故障转移警报触发时，在更改任何内容之前使用简短检查清单：

1. 确认集群视图：

patronictl -c /etc/patroni/patroni.yml list

1. 确认每个可达节点上PostgreSQL自身的角色：

SELECT pg_is_in_recovery();

false表示节点是可写入的主节点。true表示它是备用节点。如果多个节点报告false，停止并将事件视为可能的脑裂。

1. 确认应用程序端点：

dig primary-db.internal.example.com
nc -vz primary-db.internal.example.com 5432

1. 如果使用PgBouncer，确认连接池目标：

SHOW SERVERS;
SHOW POOLS;

1. 检查错误是旧的还是当前的。应用程序日志通常保留故障转移最初几秒的重试消息。在假设故障仍在发生之前比较时间戳。

此检查清单有意保持简单。在真正的故障转移期间，最好的命令是团队中每个人都能理解并无需猜测即可运行的命令。

预防故障转移问题的最佳实践

• 定期故障转移测试： 定期模拟主节点故障并观察故障转移过程。这建立信心并暴露配置错误。
• 健壮的监控和告警： 监控关键指标，如副本延迟、主节点状态、连接池健康状态和系统资源。为任何偏差设置警报。
• 正确的连接池配置： 确保配置了server_reset_query，pool_mode适合您的应用程序，并启用了健康检查。
• 调整复制参数： 根据您的性能和持久性要求，仔细配置wal_level、max_wal_senders、wal_keep_size和synchronous_commit。
• 记录您的HA设置： 清晰地记录您的HA架构、故障转移管理器配置、网络设置和恢复过程。
• 使用专用故障转移管理器： 依赖经过验证的解决方案，如Patroni或pg_auto_failover，而不是为关键HA逻辑使用自定义脚本。
• 专用共识存储： 如果使用像Patroni这样的管理器，为其分布式共识存储（Etcd、Consul）部署一个单独的、高可用的集群，以避免单点故障。

最有用的HA测试不是主节点被礼貌地停止的干净演示。也要测试丑陋的情况：旧主节点失去网络但继续运行、DNS更新缓慢、PgBouncer持有陈旧的服务器连接、副本落后30秒，或共识存储丢失成员。这些测试显示您的运行手册是否与您实际运营的系统匹配。