MySQL探秘 —— 恢复到任意时刻的秘诀

Posted 2021-03-28 楚狂声哥

一条更新语句的执行

mysql 恢复的秘密，藏在每一条 SQL 语句的执行里。于是，我们从一条简单的 SQL 语句说起。假设我们有一个表 T，主键是 int ID，有一个字段 int c。现在我们要将 ID = 2 这一样的 c 值加 1：

mysql> update T set c=c+1 where ID=2;

一条 update 语句执行的基本链路如下：

1. 当我们执行语句之前，需要先连接数据库，这是连接器的工作。
2. 如果是 select 语句，会查询下缓存中是否存在结果。当然我们是 update 语句，不仅不会查询缓存，还会清空缓存。
3. 分析器通过词法和语法分析，判断出这是一条 update 语句，并找出需要更新的表和列。
4. 优化器会判断是否使用索引，并生成最终的执行计划
5. 执行计划由执行器负责执行

其他语句的执行步骤基本一致。但是，更新流程（如 update 和 delete）还涉及了两个重要的日志模块：redo log（重做日志） 和 binlog（归档日志）。

临时账本：redo log

redo log 是 InnoDB 引擎特有的日志系统。数据库的底层仍然是依赖文件系统进行持久化存储的。如果每一次更新操作都需要写磁盘，都需要在磁盘上寻找到那条记录的位置，再更新，整个过程的 I/O 成本、查找成本都是非常高的。

MySQL 采用了 WAL 技术来解决这个问题。WAL，即 Write-Ahead Logging，它的主要思路就是，先写日志，再写磁盘。具体执行时，当有一条记录需要更新，InnoDB 引擎会先把记录写到 redo log 里，并更新内存，这个时候整个更新过程就算结束了。InnoDB 引擎会在适当的时候，将这个操作记录更新到磁盘里面，这个更新一般是在空闲的时候做。

InnoDB 的 redo log 是固定大小的，比如可以配置为一组4个文件，每个文件的大小是1GB。引擎将从文件头部开始写，写到末尾又会循环到开头继续写。如下图所示：

write pos 是当前记录的位置，一边写一遍后移，相当于类似循环链表，写到第3号文件末尾后就回到文件开头。checkpoint是当前要擦除的位置，也是往后推移并且循环的，擦除记录前要把记录更新到数据文件。

上图中的，write pos 后和 checkpoint 之前是 redo log 的空闲部分，可以用来记录新的操作。如果 write pos 追上 checkpoint，表示 redo log 记满了。这时不能再进行新的更新，得停下来将一部分记录擦除（更新到磁盘），将 checkpoint 向前推进一些，才能继续响应更新。

有了redo log，InnoDB就可以保证即使数据库发生异常重启，之前提交的记录都不会丢失，这个能力称为 crash-safe。

归档日志：binlog

MySQL 从整体来说可以分成两块，一块是Server层，它主要做的是MySQL功能层面的事情；还有一块是引擎层，负责存储相关的具体事宜。Redo Log 是 InnoDB 引擎特有的日志，而  Server 层也有自己的日志，就是 binlog（归档日志）。

那么为什么要有两份日志同时存在呢？

最初的 MySQL 中是没有 InnoDB 的。早期版本的 MySQL 默认引擎是 MyISAM，MyISAM 没有 crash-safe 能力，而 binlog 日志也只能用于归档使用。而 InnoDB 当时是另一个公司（Innobase Oy）以插件形式引入 MySQL 的，既然只依靠 binlog 是没有 crash-safe 能力的，所以 InnoDB 使用另外一套日志系统——也就是 redo log 来实现 crash-safe 能力。

这两种日志有以下三点不同。

1. redo log 是 InnoDB 引擎特有的；binlog 是 MySQL 的 Server 层实现的，只要是 MySQL 就可以使用
2. redo log 是物理日志（引擎层面），记录的是”在某个数据页上做了什么修改”；binlog 是逻辑日志（Server 层面），记录的是这个语句的原始逻辑，比如“给 ID=2 这一行的 c 字段加 1 ”。
3. redo log 是循环写的，空间固定会用完；binlog 是可以追加写入的。“追加写”是指 binlog 文件写到一定大小后会切换到下一个，并不会覆盖以前的日志。

了解了这两个日志后，我们来看下执行器和 InnoDB 引擎在执行 update 语句的具体过程：

1. 执行器先找引擎取 ID=2 这一行。ID是主键，引擎直接用树（B+ 树）搜索找到这一行。如果 ID=2 这一行所在的数据页本来就在内存中，就直接返回给执行器；否则，需要先从磁盘读入内存，然后再返回。
2. 执行器拿到引擎给的行数据，把这个值加上 1，比如原来是 N，现在就是 N+1，得到新的一行数据，再调用引擎接口写入这行新数据。
3. 引擎将这行新数据更新到内存中，同时将这个更新操作记录到 redo log 里面，此时 redo log 处于 prepare 状态。然后告知执行器执行完成了，随时可以提交事务。
4. 执行器生成这个操作的 binlog，并把 binlog 写入磁盘。
5. 执行器调用引擎的提交事务接口，引擎把刚刚写入的 redo log 改成提交（commit）状态，更新完成。

执行流程图如下，玫红色表示是在执行器中执行的，浅绿色表示是在 InnoDB 内部执行的。

我们回到标题中的这个问题，如何将数据库恢复到任意时刻的状态。这当然是有条件的。

前面我们说过了，binlog 会记录所有的逻辑操作，并且是采用“追加写”的形式。如果你的 DBA 承诺说半个月内可以恢复，那么备份系统中一定会保存最近半个月的所有 binlog，同时系统会定期做整库备份。这里的“定期”取决于系统的重要性，可以是一天一备，也可以是一周一备。

当需要恢复到指定的某一秒时，比如某天下午两点发现中午十二点有一次误删表，需要找回数据，那你可以这么做：

• 首先，找到最近的一次全量备份，如果你运气好，可能就是昨天晚上的一个备份，从这个备份恢复到临时库；
• 然后，从备份的时间点开始，将备份的 binlog 依次取出来，重放到中午误删表之前的那个时刻。

这样你的临时库就跟误删之前的线上库一样了，然后你可以把表数据从临时库取出来，按需要恢复到线上库去。

redo log 的两阶段提交

你可能注意到了，update 执行步骤的最后三步看起来有些绕，它将 redo log 的写入拆成了两个部分：prepare 和 commit，这就是 redo log 的两阶段提交。

注意这里的两阶段提交不是分布式数据库中的 2pc，而是专指 redo log。

为什么必须有“两阶段提交”呢？这是为了让两份日志之间的逻辑一致。我们不妨用反证法证明两阶段提交的必要性。

由于redo log和binlog是两个独立的逻辑，如果不用两阶段提交，要么就是先写完redo log再写binlog，或者采用反过来的顺序。我们看看这两种方式会有什么问题。

仍然用前面的 update 语句来做例子。假设当前 ID=2 的行，字段 c 的值是 0，再假设执行 update 语句过程中在写完第一个日志后，第二个日志还没有写完期间发生了 crash，会出现什么情况呢？

1. 先写 redo log 后写 binlog。假设在 redo log 写完，binlog 还没有写完的时候，MySQL 进程异常重启。由于我们前面说过的，redo log 写完之后，系统即使崩溃，仍然能够把数据恢复回来，所以恢复后这一行 c 的值是 1。

   但是由于 binlog 没写完就 crash 了，这时候 binlog 里面就没有记录这个语句。因此，之后备份日志的时候，存起来的 binlog 里面就没有这条语句。

   如果需要用这个 binlog 来恢复临时库的话，由于这个语句的 binlog 丢失，这个临时库就会少了这一次更新，恢复出来的这一行 c 的值就是 0，与原库的值不同。

2. 先写 binlog 后写 redo log。如果在 binlog 写完之后 crash，由于 redo log 还没写，崩溃恢复以后这个事务无效，所以这一行 c 的值是 0。但是 binlog 里面已经记录了“把 c 从 0 改成 1”这个日志。所以，在之后用 binlog 来恢复的时候就多了一个事务出来，恢复出来的这一行 c 的值就是 1，与原库的值不同。

恢复 binlog 的操作，不一定是在误操作之后才需要执行的，譬如在需要扩容数据库时，也是将全量备份和 binlog 发送给从库进行重放恢复，如果不使用两阶段提交，可能就会造成主从不一致。

当然，想要论证使用两阶段提交后为什么就可以避免不一致，这个过程也很简单。如下（1. redo log prepare；2. binlog；3. redo log commit）：

1. 如果 crash 发生在 1 和 2 之间，在重启恢复后，发现没有 binlog 且 redo log 没有 commit，会自动回滚操作。保证了一致性。
2. 如果 crash 发生在 2 和 3 之间，在重启后，由于 prepare 和 binlog 都存在，数据库会自动提交先前的 redo log，保证一致。

简单说，redo log和binlog都可以用于表示事务的提交状态，而两阶段提交就是让这两个状态保持逻辑上的一致。