Categories
Database Backup

> Discover why standard VM snapshots cause data corruption in transactional databases like PostgreSQL and SQL Server. Learn DBA best practices for application-consistent backups, avoiding VM stun, and ensuring data integrity with CloudSave.

DevOps-insinööreille ja järjestelmäylläpitäjille virtuaalikoneiden (VM) tilannevedokset eli snapshotit ovat perustyökalu. Ne tarjoavat nopean ja kätevän tavan tallentaa palvelimen tila ennen riskialtista päivitystä, merkittävää konfiguraatiomuutosta tai sovelluksen käyttöönottoa. Jos jokin menee vikaan, palauttaminen vie vain sekunteja.

Kuitenkin, kun tätä samaa menetelmää sovelletaan transaktiotietokantoihin – kuten PostgreSQL, MySQL, Oracle tai Microsoft SQL Server – virtuaalikoneiden tilannevedokset muuttuvat turvaverkosta tikittäväksi aikapommiksi.

Hypervisor-tason standardien tilannevedosten käyttäminen tietokantojen varmuuskopiointiin on yksi yleisimmistä syistä tietojen korruptoitumiseen, rikkinäisiin sivuihin (torn pages) ja palautuskelvottomiin tuotantokatkoksiin. Tässä artikkelissa tutkimme hypervisorien ja tietokantamoottorien välistä arkkitehtuuriristiriitaa, tilannevedosten aikana tapahtuvan tietojen korruptoitumisen mekaniikkaa sekä parhaita käytäntöjä virtualisoitujen tietokantojen turvalliseen varmuuskopiointiin.

Arkkitehtuuriristiriita: Hypervisorit vs. tietokantamoottorit

Ymmärtääksemme, miksi virtuaalikoneiden tilannevedokset vaarantavat tietokannat, meidän on ensin tarkasteltava, miten molemmat järjestelmät hallitsevat tilaa ja I/O-operaatioita.

Miten hypervisorit suorittavat tilannevedoksia

Kun hypervisor (kuten VMware ESXi, Microsoft Hyper-V tai KVM) ottaa tilannevedoksen, se ei kopioi levyä. Sen sijaan se jäädyttää nykyisen virtuaalilevytiedoston (esim. .vmdk tai .vhdx) vain luku -tilaan ja luo uuden delta-levyn (erolevy). Kaikki myöhemmät kirjoitukset ohjataan tälle delta-levylle.

Kun tilannevedos poistetaan, hypervisorin on yhdistettävä (konsolidoitava) tiedot delta-levyltä takaisin peruslevylle. Standardit tilannevedokset eivät ole lainkaan tietoisia vieraskäyttöjärjestelmässä toimivista sovelluksista. Ne tallentavat levyn tilan täsmälleen sellaisena kuin se on kyseisellä mikrosekunnilla.

Miten transaktiotietokannat hallitsevat tilaa

Transaktiotietokannat on suunniteltu ACID-ominaisuuksien (Atomicity, Consistency, Isolation, Durability) ympärille. Korkean suorituskyvyn saavuttamiseksi ja ACID-yhteensopivuuden säilyttämiseksi tietokannat eivät kirjoita jokaista transaktiota välittömästi levyn ensisijaisiin datatiedostoihin. Sen sijaan ne käyttävät monimutkaista, monitasoista arkkitehtuuria:

  1. Puskurialue / Jaetut puskurit (Buffer Pool / Shared Buffers): Tiedot luetaan järjestelmän muistiin ja niitä muokataan siellä.
  2. Write-Ahead Log (WAL) / Redo-lokit: Muutokset kirjoitetaan peräkkäin erittäin optimoituun lokitiedostoon levylle kestävyyden varmistamiseksi.
  3. Tarkistuspisteet / Lazy Writers: Tietokanta tyhjentää säännöllisesti muokatut (likaiset) sivut muistista varsinaisiin levyn datatiedostoihin.

Tämän arkkitehtuurin vuoksi levyn fyysiset datatiedostot ovat lähes aina epätahdissa tietokannan todellisen tilan kanssa. Tietokannan todellinen tila on olemassa vain yhdistelmänä levyn datatiedostoja, WAL/Redo-lokeja ja tällä hetkellä muistissa olevia tietoja.

Vaaravyöhyke: Mitä tapahtuu virtuaalikoneen tilannevedoksen aikana

Kun otat standardin virtuaalikoneen tilannevedoksen tietokantapalvelimesta, tallennat kaatumisen kestävän (crash-consistent) tilan.

Kaatumisen kestävyys vs. sovellustason kestävyys

Kaatumisen kestävä tilannevedos vastaa virtajohdon irrottamista fyysisestä palvelimesta. Levyn tila tallennetaan, mutta kaikki muistissa ollut katoaa, ja kaikki, mikä oli matkalla tallennusohjaimelle, katkeaa äkillisesti.

Vaikka nykyaikaiset tietokannat on suunniteltu toipumaan odottamattomasta sähkökatkosta toistamalla Write-Ahead Log -lokia, kaatumisen jälkeiseen palautukseen luottaminen ensisijaisena varmuuskopiostrategiana on erittäin vaarallista. Jos tietokantasi jakautuu useille virtuaalilevyille (esim. datatiedostot D-asemalla ja WAL E-asemalla), hypervisor ei välttämättä ota tilannevedosta molemmista levyistä täsmälleen samalla mikrosekunnilla. Jos WAL-levyn tilannevedos otetaan murto-osasekunti datalevyn tilannevedoksen jälkeen, tietokanta ei pysty täsmäyttämään järjestysnumeroita palautuksen yhteydessä, mikä johtaa kohtalokkaaseen korruptioon.

”VM Stun” -ilmiön vaikutus korkean transaktiomäärän järjestelmiin

Tilannevedoksen luontiprosessi – ja mikä tärkeämpää, tilannevedoksen konsolidointiprosessi – aiheuttaa ilmiön, joka tunnetaan nimellä ”VM Stun”.

Jotta I/O voidaan turvallisesti siirtää peruslevyltä delta-levylle, hypervisorin on keskeytettävä (stun) virtuaalikone hetkeksi. Kevyesti kuormitetulla verkkopalvelimella tämä keskeytys voi kestää 10–50 millisekuntia eikä sitä huomata. Kuitenkin korkean suorituskyvyn tietokannalla, jossa on massiivinen I/O, suuren delta-levyn konsolidointi voi pysäyttää virtuaalikoneen useiksi sekunneiksi.

VM Stun -ilmiön aikana:
* Verkkoyhteydet katkeavat, mikä aiheuttaa sovellusten aikakatkaisuja.
* Korkean käytettävyyden klusterit (kuten SQL Server Always On, PostgreSQL Patroni tai MySQL Galera) missaavat syketarkistukset.
* Klusteri saattaa olettaa pysäytetyn solmun olevan kuollut, mikä käynnistää tarpeettoman ja häiritsevän vikasietoisuuden (split-brain-skenaario).

Rikkinäiset sivut ja I/O-kohdistusvirheet

Tietokantamoottorit kirjoittavat tietoja yleensä tietyissä sivukoissa (esim. 8 kt PostgreSQL:lle ja SQL Serverille, 16 kt InnoDB:lle). Taustalla oleva käyttöjärjestelmä ja tallennusjärjestelmät käsittelevät kuitenkin I/O:ta pienemmissä lohkoissa (esim. 4 kt tai 512 tavua).

Jos hypervisor ottaa tilannevedoksen juuri silloin, kun tietokanta kirjoittaa 8 kt:n sivua, tilannevedos saattaa tallentaa uuden tiedon ensimmäiset 4 kt ja vanhan tiedon viimeiset 4 kt. Tämä luo rikkinäisen sivun (torn page). Kun yrität palauttaa tilannevedoksen, tietokanta lukee sivun, epäonnistuu tarkistussumman validoinnissa ja merkitsee tietokannan korruptoituneeksi.

Käytännön seuraukset tietyille tietokantamoottoreille

Eri tietokantamoottorit reagoivat kaatumisen kestäviin tilannevedoksiin eri tavoin, mutta mikään niistä ei käsittele niitä tyylikkäästi tuotantoympäristössä.

  • PostgreSQL: PostgreSQL luottaa vahvasti pg_wal-hakemistoon. Jos tilannevedos tallentaa datahakemiston ($PGDATA) ja WAL-lokin epätahdissa, PostgreSQL ei käynnisty ja antaa virheen PANIC: could not locate a valid checkpoint record.
  • MySQL/InnoDB: InnoDB käyttää doublewrite-puskuria rikkinäisten sivujen estämiseksi, mikä tarjoaa jonkin verran suojaa kaatumisen kestäviä tiloja vastaan. Jos kuitenkin ibdata1-tiedosto ja ib_logfile tallennetaan epätahdissa, InnoDB-moottori kaatuu palautuksen yhteydessä.
  • Microsoft SQL Server: SQL Server on erittäin herkkä I/O-jäädytyksille. Ilman asianmukaista VSS (Volume Shadow Copy Service) -integraatiota SQL Serverin palauttaminen standardista virtuaalikoneen tilannevedoksesta johtaa usein epäilyttäviin tietokantoihin ja rikkoutuneisiin lokiketjuihin, mikä tuhoaa Point-in-Time Recovery (PITR) -ominaisuudet.

Parhaat käytännöt virtualisoitujen tietokantojen turvalliseen varmuuskopiointiin

Suojataksesi transaktiotietokantoja, sinun on siirryttävä kaatumisen kestävistä varmuuskopioista sovellustason kestäviin (application-consistent) varmuuskopioihin. Tämä edellyttää, että varmuuskopiointimekanismi kommunikoi tietokantamoottorin kanssa, pakottaen sen tyhjentämään muistin levylle ja keskeyttämään I/O-operaatiot hetkellisesti tilannevedoksen ottamisen ajaksi.

1. Hyödynnä sovellustietoinen jäädytys (VSS ja fsfreeze)

Windows (SQL Server):
Varmista aina, että varmuuskopiointiratkaisusi käyttää Microsoft Volume Shadow Copy Service (VSS) -palvelua. Kun VSS-tietoinen varmuuskopio käynnistetään, SQL Server VSS Writer jäädyttää tietokannan I/O:n, tyhjentää odottavat transaktiot levylle ja varmistaa, että tilannevedos on täysin sovellustason kestävä.

Linux (PostgreSQL / MySQL):
Linuxilla ei ole natiivia vastinetta VSS:lle. Sovellustason kestävyyden saavuttamiseksi sinun on käytettävä pre-freeze- ja post-thaw-skriptejä yhdessä hypervisorin vierastyökalujen (esim. VMware Tools) kanssa.

Tässä on esimerkki VMwaren pre-freeze-script-skriptistä PostgreSQL 15+:lle, joka valmistelee tietokannan turvallisesti tilannevedosta varten:

#!/bin/bash
# /usr/sbin/pre-freeze-script
# Varmista, että skripti on suoritettava (chmod +x)

# 1. Käske PostgreSQL:ää valmistautumaan varmuuskopiointiin
su - postgres -c "psql -c "SELECT pg_backup_start('vm_snapshot', true);""

# 2. Tyhjennä tiedostojärjestelmän puskurit levylle
sync

# 3. Jäädytä tiedostojärjestelmä (olettaen, että data on hakemistossa /var/lib/pgsql)
fsfreeze -f /var/lib/pgsql

Ja vastaava post-thaw-script-skripti toimintojen jatkamiseksi:

#!/bin/bash
# /usr/sbin/post-thaw-script

# 1. Poista tiedostojärjestelmän jäädytys
fsfreeze -u /var/lib/pgsql

# 2. Ilmoita PostgreSQL:lle, että varmuuskopiointi on valmis
su - postgres -c "psql -c "SELECT pg_backup_stop();""

2. Käytä tietokantojen natiiveja varmuuskopiointityökaluja

Vaikka sovellustason kestävät tilannevedokset ovat parempia kuin standardit tilannevedokset, niihin liittyy silti VM Stun -riski. Turvallisin tapa tietokantojen varmuuskopiointiin on käyttää natiiveja, suoratoistavia varmuuskopiointityökaluja, jotka toimivat riippumatta hypervisorista.

PostgreSQL (pg_basebackup):

pg_basebackup -h localhost -U replication_user -D /mnt/backups/pg_backup -Ft -z -P

MySQL/MariaDB (Percona XtraBackup / Mariabackup):
Nämä työkalut ottavat ”kuumia”, ei-lukitsevia varmuuskopioita kopioimalla datatiedostot ja seuraamalla samanaikaisesti muutoksia redo-lokissa.

mariabackup --backup --target-dir=/mnt/backups/mysql_backup --user=root --password=SecurePass

SQL Server (T-SQL):

BACKUP DATABASE [ProductionDB] 
TO DISK = N'Z:BackupsProductionDB.bak' 
WITH NOFORMAT, NOINIT, NAME = N'ProductionDB-Full Backup', 
SKIP, NOREWIND, NOUNLOAD, COMPRESSION, STATS = 10;
GO

3. Toteuta Point-in-Time Recovery (PITR) lokiarkistoinnin avulla

Päivittäinen tilannevedos tai täysi varmuuskopio suojaa sinua vain siihen minuuttiin asti, jolloin se otettiin. Jos tietokantasi kaatuu klo 16:00 ja viimeisin tilannevedoksesi oli klo 02:00, menetät 14 tuntia transaktiotietoja.

Todellisen yritystason kestävyyden saavuttamiseksi sinun on yhdistettävä täydet sovellustason kestävät varmuuskopiot jatkuvaan lokiarkistointiin (varmuuskopioimalla WAL-, Redo- tai transaktiolokit muutaman minuutin välein). Tämä mahdollistaa tietokannan palauttamisen tiettyyn minuuttiin tai jopa tiettyyn transaktio-ID:hen ennen katastrofia.

Yritystason varmuuskopiointistrategiat CloudSaven avulla

Mukautettujen pre-freeze-skriptien, natiivien dumppien cron-ajastusten ja lokien siirron hallinta kymmenillä tietokantapalvelimilla on DevOps-tiimeille operatiivinen painajainen. Tässä kohtaa yritystason alusta, kuten CloudSave, muuttuu kriittiseksi.

CloudSave kuroo umpeen virtuaalistamisen ja tietokanta-arkkitehtuurin välisen kuilun. Sen sijaan, että luotettaisiin sokeisiin hypervisor-tilannevedoksiin, CloudSave hyödyntää sovellustietoisia agentteja, jotka integroituvat natiivisti SQL Serveriin, PostgreSQL:ään, MySQL:ään ja Oracleen.

Kun CloudSave käynnistää varmuuskopion:
1. Se kommunikoi suoraan tietokantamoottorin kanssa natiivien rajapintojen kautta (kuten VSS Windowsille tai natiivi WAL-suoratoisto Linuxille).
2. Se orkestroi muistipuskurien tyhjentämisen levylle aiheuttamatta häiritseviä VM Stun -keskeytyksiä.
3. Se tallentaa datatiedostot turvallisesti ja hallitsee automaattisesti transaktiolokin katkaisun.
4. Se varmuuskopioi transaktiolokit jatkuvasti, mahdollistaen tarkan Point-in-Time Recovery (PITR) -palautuksen muutamalla klikkauksella.

Ulkoistamalla sovellustason kestävyyden monimutkaisuuden CloudSavelle, tietokantaylläpitäjät ja järjestelmäylläpitäjät voivat taata tietojen eheyden uhraamatta tuotantoklustereidensa suorituskykyä tai käytettävyyttä.

Johtopäätös

Virtuaalikoneiden tilannevedokset ovat uskomaton työkalu infrastruktuurin hallintaan, mutta ne ovat pohjimmiltaan yhteensopimattomia transaktiotietokantojen ACID-vaatimusten kanssa. Kaatumisen kestäviin hypervisor-tilannevedoksiin luottaminen altistaa organisaatiosi rikkinäisille sivuille, rikkoutuneille replikointiketjuille ja katastrofaaliselle tietojen menetykselle.

Suojataksesi kriittisiä tietojasi, sinun on toteutettava sovellustietoinen jäädytys, käytettävä natiiveja tietokantojen varmuuskopiointimenetelmiä ja ylläpidettävä jatkuvia transaktiolokiarkistoja. Ottamalla käyttöön tarkoitukseen suunniteltuja yritystason varmuuskopiointiratkaisuja voit varmistaa, että tietokantasi pysyvät korkean käytettävyyden tilassa, täysin palautettavissa ja täysin suojattuina.

Kategoriat