Categories
Database Backup

> Discover why standard VM snapshots cause data corruption in transactional databases like PostgreSQL and SQL Server. Learn DBA best practices for application-consistent backups, avoiding VM stun, and ensuring data integrity with CloudSave.

Pre inžinierov DevOps a systémových administrátorov sú snímky (snapshots) virtuálnych strojov (VM) základným nástrojom. Poskytujú rýchly a pohodlný spôsob, ako zachytiť stav servera pred rizikovou záplatou, veľkou zmenou konfigurácie alebo nasadením aplikácie. Ak sa niečo pokazí, vrátenie do pôvodného stavu trvá sekundy.

Keď sa však táto metodika aplikuje na transakčné databázy – ako sú PostgreSQL, MySQL, Oracle alebo Microsoft SQL Server – snímky VM sa zmenia z bezpečnostnej siete na časovanú bombu.

Spoliehanie sa na štandardné snímky hypervízora pri zálohovaní databáz je jednou z najčastejších príčin poškodenia údajov, roztrhnutých stránok (torn pages) a neobnoviteľných výpadkov produkcie. V tomto článku preskúmame architektonický konflikt medzi hypervízormi a databázovými enginmi, mechaniku poškodenia údajov počas vytvárania snímok a inžinierske osvedčené postupy potrebné na bezpečné zálohovanie virtualizovaných databáz.

Architektonický konflikt: Hypervízory vs. databázové enginy

Aby sme pochopili, prečo snímky VM ohrozujú databázy, musíme najprv preskúmať, ako oba systémy spravujú stav a operácie I/O.

Ako hypervízory vykonávajú snímky

Keď hypervízor (napríklad VMware ESXi, Microsoft Hyper-V alebo KVM) vytvorí snímku, nekopíruje disk. Namiesto toho zmrazí aktuálny súbor virtuálneho disku (napr. .vmdk alebo .vhdx) do stavu „len na čítanie“ a vytvorí nový delta disk (rozdielový disk). Všetky následné zápisy sú smerované na tento delta disk.

Keď sa snímka odstráni, hypervízor musí potvrdiť (konsolidovať) údaje z delta disku späť do základného disku. Štandardné snímky si vôbec neuvedomujú aplikácie bežiace vo vnútri hosťujúceho operačného systému. Zachytávajú stav disku presne tak, ako existuje v danej mikrosekunde.

Ako transakčné databázy spravujú stav

Transakčné databázy sú navrhnuté na základe vlastností ACID (Atomicita, Konzistencia, Izolácia, Trvácnosť). Aby sa dosiahol vysoký výkon pri zachovaní súladu s ACID, databázy nezapisujú každú transakciu priamo do primárnych dátových súborov na disku okamžite. Namiesto toho používajú komplexnú, viacúrovňovú architektúru:

  1. Buffer Pool / Shared Buffers: Údaje sa čítajú a upravujú v systémovej pamäti.
  2. Write-Ahead Log (WAL) / Redo Logs: Zmeny sa sekvenčne zapisujú do vysoko optimalizovaného súboru denníka na disku, aby sa zabezpečila trvácnosť.
  3. Checkpoints / Lazy Writers: Databáza pravidelne vyprázdňuje upravené (špinavé) stránky z pamäte do skutočných dátových súborov na disku.

Kvôli tejto architektúre sú fyzické dátové súbory na disku takmer vždy nesynchronizované so skutočným stavom databázy. Skutočný stav databázy existuje len ako kombinácia dátových súborov na disku, WAL/Redo logov a údajov, ktoré sa aktuálne nachádzajú v pamäti.

Zóna nebezpečenstva: Čo sa deje počas snímky VM

Keď vytvoríte štandardnú snímku VM databázového servera, zachytávate stav konzistentný pri zlyhaní (crash-consistent).

Konzistencia pri zlyhaní vs. aplikačná konzistencia

Snímka konzistentná pri zlyhaní je ekvivalentom vytiahnutia napájacieho kábla z fyzického servera. Stav disku je zachytený, ale všetko, čo bolo v pamäti, je stratené a všetko, čo bolo na ceste k radiču úložiska, je náhle prerušené.

Hoci sú moderné databázy navrhnuté tak, aby sa zotavili z neočakávanej straty napájania prehratím Write-Ahead Logu, spoliehanie sa na obnovu po zlyhaní ako na primárnu stratégiu zálohovania je veľmi nebezpečné. Ak vaša databáza zahŕňa viacero virtuálnych diskov (napr. dátové súbory na disku D: a WAL na disku E:), hypervízor nemusí vytvoriť snímku oboch diskov v presne tej istej mikrosekunde. Ak sa snímka disku WAL zachytí čo i len zlomok sekundy po snímke dátového disku, databáza nedokáže pri obnove zosúladiť poradové čísla, čo vedie k fatálnemu poškodeniu.

Efekt „VM Stun“ pri systémoch s vysokým počtom transakcií

Proces vytvárania snímky – a čo je dôležitejšie, proces konsolidácie snímky – spôsobuje jav známy ako „VM Stun“ (pozastavenie VM).

Aby sa bezpečne prepol I/O zo základného disku na delta disk, hypervízor musí nakrátko pozastaviť (stun) virtuálny stroj. Pre ľahko zaťažený webový server môže toto pozastavenie trvať 10 – 50 milisekúnd a zostane nepovšimnuté. Avšak pre databázu s vysokou priepustnosťou a masívnym I/O môže konsolidácia veľkého delta disku pozastaviť VM na niekoľko sekúnd.

Počas pozastavenia VM:
* Sieťové pripojenia vypadávajú, čo spôsobuje časové limity aplikácií.
* Klastre s vysokou dostupnosťou (ako SQL Server Always On, PostgreSQL Patroni alebo MySQL Galera) vynechávajú kontroly „heartbeat“.
* Klaster môže predpokladať, že pozastavený uzol je mŕtvy, čo spustí zbytočné a rušivé prevzatie služieb pri zlyhaní (scenár split-brain).

Roztrhnuté stránky (Torn Pages) a nesúlad I/O

Databázové enginy zvyčajne zapisujú údaje v špecifických veľkostiach stránok (napr. 8 KB pre PostgreSQL a SQL Server, 16 KB pre InnoDB). Základný operačný systém a úložné polia však spracovávajú I/O v menších blokoch (napr. 4 KB alebo 512 bajtov).

Ak hypervízor vytvorí snímku presne v momente, keď databáza zapisuje 8 KB stránku, snímka môže zachytiť prvých 4 KB nových údajov a posledných 4 KB starých údajov. To vytvára roztrhnutú stránku. Keď sa pokúsite obnoviť snímku, databáza prečíta stránku, zlyhá pri overovaní kontrolného súčtu a označí databázu za poškodenú.

Reálne dôsledky pre konkrétne databázové enginy

Rôzne databázové enginy reagujú na snímky konzistentné pri zlyhaní rôznymi spôsobmi, ale žiadny z nich to v produkčnom prostredí nezvláda bez problémov.

  • PostgreSQL: PostgreSQL sa silne spolieha na adresár pg_wal. Ak snímka zachytí dátový adresár ($PGDATA) a WAL nesynchronizovane, PostgreSQL sa nespustí a vyhodí chybu PANIC: could not locate a valid checkpoint record.
  • MySQL/InnoDB: InnoDB používa vyrovnávaciu pamäť doublewrite na zabránenie roztrhnutým stránkam, čo ponúka určitú ochranu proti stavom konzistentným pri zlyhaní. Ak sú však súbor ibdata1 a ib_logfile zachytené nesynchronizovane, engine InnoDB pri obnove zlyhá.
  • Microsoft SQL Server: SQL Server je veľmi citlivý na zmrazenie I/O. Bez správnej integrácie VSS (Volume Shadow Copy Service) bude obnova SQL Servera zo štandardnej snímky VM často viesť k podozrivým databázam a prerušeným reťazcom denníkov, čím sa zničia vaše možnosti obnovy k určitému bodu v čase (PITR).

Osvedčené postupy pre bezpečné zálohovanie virtualizovaných databáz

Aby ste chránili transakčné databázy, musíte prejsť od záloh konzistentných pri zlyhaní k aplikačne konzistentným zálohám. To vyžaduje, aby mechanizmus zálohovania komunikoval s databázovým enginom, čím ho prinúti vyprázdniť pamäť na disk a dočasne pozastaviť operácie I/O, zatiaľ čo sa snímka vytvára.

1. Využite aplikačne orientované zmrazenie (VSS a fsfreeze)

Pre Windows (SQL Server):
Vždy sa uistite, že vaše riešenie zálohovania využíva službu Microsoft Volume Shadow Copy Service (VSS). Keď sa spustí záloha s podporou VSS, SQL Server VSS Writer zmrazí I/O databázy, vyprázdni čakajúce transakcie na disk a zabezpečí, že snímka bude dokonale aplikačne konzistentná.

Pre Linux (PostgreSQL / MySQL):
Linux nemá natívny ekvivalent k VSS. Aby ste dosiahli aplikačnú konzistenciu, musíte použiť skripty „pre-freeze“ a „post-thaw“ v spojení s nástrojmi hosťa hypervízora (napr. VMware Tools).

Tu je príklad skriptu VMware pre-freeze-script pre PostgreSQL 15+, ktorý bezpečne pripraví databázu na snímku:

#!/bin/bash
# /usr/sbin/pre-freeze-script
# Uistite sa, že tento skript je spustiteľný (chmod +x)

# 1. Povedzte PostgreSQL, aby sa pripravil na zálohovanie
su - postgres -c "psql -c "SELECT pg_backup_start('vm_snapshot', true);""

# 2. Vyprázdnite vyrovnávacie pamäte súborového systému na disk
sync

# 3. Zmrazte súborový systém (za predpokladu, že údaje sú v /var/lib/pgsql)
fsfreeze -f /var/lib/pgsql

A zodpovedajúci post-thaw-script na obnovenie operácií:

#!/bin/bash
# /usr/sbin/post-thaw-script

# 1. Rozmrazte súborový systém
fsfreeze -u /var/lib/pgsql

# 2. Povedzte PostgreSQL, že zálohovanie je dokončené
su - postgres -c "psql -c "SELECT pg_backup_stop();""

2. Používajte natívne nástroje na zálohovanie databáz

Hoci sú aplikačne konzistentné snímky lepšie ako štandardné snímky, stále nesú riziko pozastavenia VM. Najbezpečnejším prístupom pre zálohovanie databáz je použitie natívnych streamovacích nástrojov na zálohovanie, ktoré fungujú nezávisle od hypervízora.

PostgreSQL (pg_basebackup):

pg_basebackup -h localhost -U replication_user -D /mnt/backups/pg_backup -Ft -z -P

MySQL/MariaDB (Percona XtraBackup / Mariabackup):
Tieto nástroje vytvárajú „horúce“, neblokujúce zálohy kopírovaním dátových súborov a súčasným sledovaním zmien v redo logu.

mariabackup --backup --target-dir=/mnt/backups/mysql_backup --user=root --password=SecurePass

SQL Server (T-SQL):

BACKUP DATABASE [ProductionDB] 
TO DISK = N'Z:BackupsProductionDB.bak' 
WITH NOFORMAT, NOINIT, NAME = N'ProductionDB-Full Backup', 
SKIP, NOREWIND, NOUNLOAD, COMPRESSION, STATS = 10;
GO

3. Implementujte obnovu k určitému bodu v čase (PITR) prostredníctvom archivácie denníkov

Denná snímka alebo úplná záloha vás chráni len do minúty, kedy bola vytvorená. Ak vaša databáza zlyhá o 16:00 a vaša posledná snímka bola o 2:00 ráno, stratíte 14 hodín transakčných údajov.

Aby ste dosiahli skutočnú podnikovú odolnosť, musíte kombinovať úplné aplikačne konzistentné zálohy s kontinuálnou archiváciou denníkov (zálohovanie WAL, Redo logov alebo transakčných denníkov každých pár minút). To umožňuje správcom databáz obnoviť databázu k určitej minúte alebo dokonca k určitému ID transakcie pred katastrofou.

Podnikové stratégie zálohovania s CloudSave

Správa vlastných skriptov „pre-freeze“, úloh cron pre natívne výpisy a odosielanie denníkov naprieč desiatkami databázových serverov je pre tímy DevOps operačnou nočnou morou. Tu sa stáva kritickou platforma podnikovej úrovne, ako je CloudSave.

CloudSave premosťuje priepasť medzi virtualizáciou a architektúrou databáz. Namiesto spoliehania sa na slepé snímky hypervízora využíva CloudSave aplikačne orientovaných agentov, ktorí sa natívne integrujú so SQL Serverom, PostgreSQL, MySQL a Oracle.

Keď CloudSave iniciuje zálohovanie:
1. Komunikuje priamo s databázovým enginom prostredníctvom natívnych API (ako VSS pre Windows alebo natívne streamovanie WAL pre Linux).
2. Organizuje vyprázdnenie pamäťových vyrovnávacích pamätí na disk bez toho, aby spôsoboval rušivé pozastavenia VM.
3. Bezpečne zachytáva dátové súbory a automaticky spravuje skracovanie transakčných denníkov.
4. Kontinuálne zálohuje transakčné denníky, čo umožňuje granulárnu obnovu k určitému bodu v čase (PITR) niekoľkými kliknutiami.

Tým, že správcovia databáz a systémoví administrátori prenesú zložitosť aplikačnej konzistencie na CloudSave, môžu zaručiť integritu údajov bez obetovania výkonu alebo dostupnosti svojich produkčných klastrov.

Záver

Snímky virtuálnych strojov sú neuveriteľným nástrojom na správu infraštruktúry, ale sú v zásade nezlučiteľné s požiadavkami ACID transakčných databáz. Spoliehanie sa na snímky hypervízora konzistentné pri zlyhaní vystavuje vašu organizáciu riziku roztrhnutých stránok, prerušených reťazcov replikácie a katastrofálnej straty údajov.

Aby ste chránili svoje kritické údaje, musíte implementovať aplikačne orientované zmrazenie, využívať natívne metodiky zálohovania databáz a udržiavať kontinuálne archívy transakčných denníkov. Prijatím účelových podnikových riešení zálohovania môžete zabezpečiť, že vaše databázy zostanú vysoko dostupné, plne obnoviteľné a úplne bezpečné.

Kategórie