一 背景
容灾系统的重要目标在于保证系统数据和服务的“连续性”。当系统发生故障时,容灾系统能够快速恢复服务和保证数据的有效性。为了防止天灾人祸、不可抗力,在同城或异地建立对应的IT系统,其中最核心的工作是数据同步。
本文选取应用层容灾的场景中,对于哪些数据表需要跨云同步,哪些数据表不需要跨云同步的问题进行探讨。通过一个具体的案例,帮助读者更好地梳理同步表和过滤表的方法,以满足应用层的业务容灾需求。
二 相关术语
本文探讨的场景是基于阿里云构建的应用层容灾,涉及到以下关键术语:
RDS MySQL:MySQL 版是全球最受欢迎的开源数据库之一,作为开源软件组合 LAMP(Linux + Apache + MySQL + Perl/PHP/Python) 中的重要一环,广泛应用于各类应用场景。阿里云RDS MySQL版,通过深度的内核优化和独享实例提供稳定极致的数据库性能,同时灵活的部署架构及产品形态,可满足不同场景下的数据库需求。
DTS:数据传输服务(Data Transmission Service) 支持关系型数据库(MySQL等)、NoSQL、大数据(OLAP)等数据源间的数据传输。 它是一种集数据迁移、数据订阅及数据实时同步于一体的数据传输服务。数据传输致力于在公共云、混合云场景下,解决远距离、毫秒级异步数据传输难题。 使用数据传输轻松构建安全、可扩展、高可用(容灾)的数据架构。
ASR:ASR-DR(Apsara Stack Resilience Disaster Recovery)是一款提供容灾功能的云产品,支持RDS MySQL的容灾管理。ASR是为了在灾难发生时,快速地实现容灾切换,尽可能地降低RTO,而开发的基于图形交互的切换工具。
同步表:本文特指RDS MySQL的数据库和数据表中,哪些表必须从一朵云备份到另外一朵云,即跨云同步。
过滤表:本文特指RDS MySQL的数据库和数据表中,哪些表不能或不需要,从一朵云备份到另外一朵云。
应用配置表:本文特指应用层在RDS MySQL中的数据表,这个表记录应用层的相关配置信息,比如IP、域名、定时任务的开关状态等等。
Sequence:全局唯一序列号ID,在分布式系统里面应用广泛,可用于交易流水号,用户ID等。 在搜索, 存储数据, 加快检索速度等等很多方面都有着重要的意义。这个ID常常是数据库的主键,要求全局唯一、支持高并发、容错单点故障。为了提高性能,应用层通常每次从数据库中获取一批序列号(比如1万个),存放到应用内存中使用,避免频繁访问数据库。内存中的序列号使用完成后,再次从数据库中进行获取新的一批序列号。
三 应用容灾中关于过滤表的关键技术问题
为什么需要梳理不做跨云同步的过滤表?
非容灾应用
- 备中心资源限制:实际项目中,受限于备中心的资源限制,无法在备中心内部署应用系统,因此非容灾的应用对应的数据库和数据表无需同步。
- 运维临时备份库和备份表无需同步:在日常运维中,DBA在对数据库进行变更时,通常会做临时性备份。临时备份的数据库或数据表,由于阿里云 RDS MySQL集群本身已经在后台进行了备份,无需用户再做一次跨云同步。这样可以减少同步链路的带宽和容灾切换的管理工作量。
- 不支持容灾的应用:云产品的容灾能力建设是一个持续过程,某些云产品在项目交付阶段暂时还不具备容灾能力,但是用户的应用依赖了这些指定的云产品。因此这部分的应用暂时无法做容灾演练,对应的数据库和数据表也可以暂时不做同步。待应用的全流程依赖的云产品都支持容灾后,再进行数据同步即可。
有差异的配置表
- 应用配置的方式:应用系统为了将代码和配置分开管理,通常将配置参数单独存放和管理。常见的配置形式有配置文件、RDS MySQL数据库、专用的配置中心,其中专用配置中心后台也用了RDS MySQL来存储数据。比较忌讳的方式是在代码中硬编码配置参数,如IP、域名等。
- 环境参数:应用软件在使用云产品如RDS MySQL、OSS、SLB等产品时,需要通过IP、域名、账号密码、AK/SK进行连接。
- 应用参数:某些功能只能在一个中心内的应用执行,这些功能开关在数据表里面的某些字段值进行控制。比如某些定时任务,会定期和外部机构发生批处理的调用。如果双中心的定时任务同时运行,可能会导致外部机构的批处理重复执行,这依赖于外部机构能否支持重复执行相同的批处理任务。这些定时任务的配置表需要在双中心分别配置。
- 同城容灾的配置方式:第2点的环境参数默认是相同的。同城一朵云的双中心距离较近(小于100公里),应用部署在一朵云的两个可用区,云产品连接信息是相同的。因此应用软件在部署时,访问的是相同的环境参数。此场景中,需要梳理有差异的环境参数是比较少的。
- 异地容灾的配置方式:第2点的环境参数存在差异。同城两朵云的双中心距离较远(大于100公里),应用部署在两朵云的两个可用区,云产品连接信息是不同的。因此应用软件在部署时,访问的是不同的环境参数。此场景中,需要每个应用分别梳理差异的环境参数。差异的环境参数所在的数据表不能跨云同步,否则会导致应用系统部署失败。
需要双写的业务表
- 双写的场景:a)业务流量在双中心同时处理,称为应用层双活,需要同时向双中心写入数据表。b)应用运行期记录微服务的调用日志等。理想情况下,应该是有业务流量在处理时,应用才会向数据库中记录数据。实际项目中,业务也会出现特殊情况,在备中心的应用,即使没有流量请求,也会定期写入一些日志,比如微服务调用日志、定时任务日志、应用启动时更新全局唯一序列号Sequence等等。双写的场景,要求主中心和备中心的RDS MySQL都具备读和写权限。
- 同城双活场景:同城一朵云的双活架构中,主中心和备中心对应用层提供统一的云产品连接信息,应用都具备向RDS MySQL的写入权限。
- 异地主备场景:异地两朵云的主备架构中,主中心RDS MySQL对应用层提供读写权限,而备中心RDS MySQL向应用层提供只读权限。这种权限策略无法满足第1点中的双写要求。因此对于双写的表,需要按照应用维度梳理过滤表。
如何梳理不做跨云同步的数据表?
在项目中会发现,应用软件开发商更关注业务逻辑的实现,对于云产品使用的最佳实践以及容灾能力的了解程度,可能和我们的预期存在一定的差异。而梳理过滤表,主要由应用开发商来执行,在梳理过程中有几个常见的问题。
- 设计和开发时期,开发人员应该如何做来减少容灾时候不同步的过滤表?
- 部署和运维时期,运维人员应该从哪些角度来确保过滤表的完整性和正确性?
如果梳理错误,对应用层容灾演练有什么影响?
在项目中,往往受限于工期和生产系统稳定性运行的约束,应用开发商和云平台厂商即便清楚设计和开发的最佳实践,也比较难限时完成改造。因此部署和运维期的时候,梳理过滤表和准备应急预案,是容灾演练的重点工作项。
我们来分析一下,如果梳理过滤表错误,可能对应用层容灾有什么影响?
对非容灾应用的影响:
- 几乎没影响。前面分析过,建议非容灾的应用可以不做数据备份,或者备中心应用在备份数据上不做为生产用途。
对容灾应用的影响:
- 备中心部署应用后,启动应用失败,此时能够识别出错误的环境参数。应对措施是停止对应数据表的同步,修正读写权限后继续部署。
- 备中心应用在测试功能时,重点关注后台定时任务和非业务请求写RDS MySQL的场景,在测试阶段修正过滤表的清单。
- 对生产系统运行期做容灾切换演练,在异地容灾架构中,错误的过滤表清单可能会导致数据库主键写冲突的错误,进而出现写业务失败问题。此时可通过应急预案,紧急停止或增加同步功能或修正数据表字段值,重启应用方式的手段来恢复。在下次演练前修正过滤表清单。本文后面将对此场景用一个案例简单说明。
四 在应用容灾中设计不同步的数据表
前面我们已经介绍了应用容灾中哪些表不同步的必要性,本节我们来探讨如何梳理和设置过滤表。以下分析是比较理想的情况,实际项目中会有一些差别。
云平台角度
- 了解云平台的能力:目前主流的云平台厂商都有RDS MySQL产品,但是每家厂商的RDS MySQL在同城多可用区和异地多Region中的容灾能力是有区别的。用户需要了解,每家云厂商的数据同步能力,在同城和异地两种情况下,是后台自动完成?还是利用工具(如阿里云的DTS)?还是人工写脚本完成?
- 配置过滤表的方式:阿里云DTS产品支持在创建RDS MySQL实例同步链路时,配置哪些数据库和数据表不同步。
- 自动配置过滤表功能:在容灾演练过程中,会涉及主切备、备切主,因此对应数据同步方向发生反转,我们称成为正向同步和反向同步。当发生同步方向反转时,需要容灾切换平台支持自动配置过滤表。阿里云ASR-DR支持第一次创建同步链路时,保存过滤表的清单,后续每次同步方向切换时,由ASR-DR自动给新的链路配置过滤表。
如下是阿里云数据数据传输服务DTS产品公开的资料文档。
应用层角度
接下来我们从应用开发商比较关注点几个阶段,分析如何有效性地基于云容灾来交付应用软件。
1.设计阶段:
- 基于云容灾的设计思路。考虑应用未来会部署在两朵云或多朵云,有可能是不同厂商的云平台上。因此早期基于IOE架构的容灾架构,由专业存储硬件完成的数据层同步在多云场景下将不适用,而Oracle昂贵的license也是很多企业难以接受的。
- 考虑为每朵云和每个中心预留标识参数,用于表示当前配置适用于哪朵云上。由配置中心统一管理当前运行环境上是哪朵云的参数生效,应用代码无需关注自己运行在哪朵云上。
- 识别哪些场景的功能只能在其中一朵云上运行的,并为这些功能安排开关。通过配置中心并将开关设置为可动态配置和生效。重点关注定时任务。
- 建议将这些功能开关的操作放在白屏界面,便于在容灾切换有限而紧迫的时间内,允许运维人员快速操作,而不是打电话到处问人,关闭某个定时任务是在哪个库、哪个表的哪个字段来控制开关。
- 记录过滤表清单,并及时更新。
2.开发阶段:
- 优先使用配置中心来保存参数。实际项目中,保存配置的方式有多种方式,包括配置中心、配置文件、RDS MySQL、甚至还有在代码中直接编码某个地址、账号密码。阿里云EDAS产品提供配置中心功能,支持动态配置、静态配置,以及配置变更后动态推送,而不需要应用重启才能生效。
- 配置中心本身的地址,可以记录在应用的配置文件中,将配置文件和应用程序一起打包发布。因为配置中心服务在部署后,很少会发生变化。
- 如果暂时无法使用配置中心,必须要用RDS MySQL来管理配置。建议将记录不同云环境参数的配置放在独立的数据表中,单独提供功能开关的配置也放在独立的数据表中,不要和业务表耦合在一起。好处是降低了管理过滤表的难度。重点关注云产品的域名、IP、账号密码、AK/SK。
3. 部署阶段:
- 运维人员和开发人员,确认清楚每个过滤表的被选中的原因,背后的业务依据是什么?重点关注是否多配了过滤表。
- 登陆每个数据库,检查容灾切换平台ASR-DR是否按照预期来设置过滤表。当过滤表有上百个的时候,容易出现遗漏或错误。
- 创造条件在备中心上提前验证业务功能,重点关注过滤表场景是否符合预期,关注定时任务是否只在一个中心上运行。
4. 运维阶段:
- 配置变更在两朵云上的过滤表同时执行。当在主中心上对过滤步表进行了变更后,如增加字段或调整字段类型,备中心无法感知到,需要手工在备中心上做同样的修改。否则容灾切换到备中心后会因为表未更新导致应用错误。
- 过滤表恢复为同步表。早期梳理过滤表清单有误,多配置了过滤表,后来验证需要同步。需要重新对数据表做全量数据同步,并在容灾管理平台ASR-DR上修改这个表是否同步的标志。
- 同步表改为过滤表。早期同步的表,由于业务做了调整,后续无需再同步,需要在容灾管理平台ASR-DR并在容灾管理平台ASR-DR上修改这个表是否同步的标志。
下图为异地容灾主备架构下,同步表和过滤表的配置逻辑说明。
五 案例
下面分析一个异地容灾的项目中,由于过滤表清单梳理错误,导致业务异常问题及处理经验,便于读者对数据表是否需要跨云同步更有体感。
(1)问题描述
在阿里云容灾平台ASR-DR对某个应用执行容灾切换(RDS MySQL读写权限从Cloud A切换至Cloud B)后,业务请求在备中心(Cloud B)时,业务报错,数据库提示“主键冲突”。
(2)问题分析
我们根据问题处理的先后顺序,对问题定位过程进行分析。
1. 分析数据库报错“主键冲突”:
- 确认冲突的字段值为交易流水号ID。检查业务数据表,确认这个ID的交易信息已经存在。
2. 分析业务请求路径:
- 分析是否接入层流量调度异常导致的双写。在异地容灾的主备架构中,通过接入层的全局负载均衡设备GSLB控制,保证只有主中心有业务请求流量,备中心没有业务请求流量。因此双中心业务双写导致的主键冲突的嫌疑可以排除掉。
- 分析是否为主中心应用层缓存在主备切换后延迟写入数据。在主备架构中,容灾平台ASR-DR平台会保证主中心的RDS MySQL数据库权限设置为只读后,才会对备中心的应用开放对RDS MySQL的读写权限。即使主中心的应用层有缓存延迟写入,在容灾切换后,主中心应用没有权限写入数据,不会出现双写场景。排除此嫌疑。
- 分析是否为容灾切换前已使用了该序列号。登陆主中心的数据库,检查序列号字段当前可用范围是[90000000000, 18446744073709551615],说明小于90000000000的序列号已经被使用。而当前提示主键冲突的序列号80000000000已经在业务表中有对应的交易记录。因此确认这个交易记录号是在主中心使用过了。
- 分析备中心应用获取序列号的记录。从应用日志看到,备中心应用在首次启动时,获取了一次最新的序列号,后面没有再从数据库获取最新的序列号。同时检查应用的内存值,发现备中心当前正在使用序列号范围[80000000000, 80000009999]。显然这是过期的序列号。
问题结论:备中心应用使用了过期的交易流水号ID,导致的写数据库出现“主键冲突”。
3. 分析问题引入过程:
- 分析应用获取序列号的流程:应用首次启动时,从数据库中获取1万个可用的序列号,并更新数据库和应用的内存值。
- 分析主备中心上的数据同步机制:作为管理全局唯一性序列号的数据表xx_table,通过数据同步工具DTS能够保证数据实时在双中心之间同步,且应用在更新数据库序列号时,对数据库加锁防止不一致。理论上不会出现主备中心上获取到相同的序列号。
- 分析主备中心上数据表xx_table内容是否一致:发现主中心上的序列号可用范围是[90000000000, 18446744073709551615],而备中心的序列号可用范围是[80000010000, 18446744073709551615]。两者并不一致,说明数据表并没有同步。
- 检查数据同步工具DTS:工作正常,未发现任何错误或故障。
- 检查过滤表清单:管理全局唯一性序列号的数据表xx_table应该跨云同步,但是却被配置为过滤表,导致了数据无法同步。
- 检查过滤表的梳理过程:在容灾演练前的准备阶段,运维人员在备中心部署应用后,业务人员验证功能交易失败。失败原因是应用启动时获取序列号后写数据库失败,提示无写权限,因此交易功能初始化失败。在主备架构下,默认主中心应用对RDS MySQL有读写权限,备中心对RDS MySQL有只读权限。而备中心启动时需要些权限,因此业务人员将管理全局唯一性序列号的数据表xx_table加入到了不同步的过滤表清单中,导致这张表没有从主中心同步到备中心。
问题结论:管理全局唯一性序列号的数据表xx_table被错误地加入到了不做跨云同步的过滤表清单
应急措施
- 手动将备中心的数据表xx_table中的序列号有效范围,修正为正确的[90000000000, 18446744073709551615]。
- 重启备中心的应用软件,触发应用重新获取序列号。
改进措施
- 同步数据:管理全局唯一性序列号的数据表xx_table需要同步,从过滤表清单中移除xx_table,确保主备中心的有效序列号范围一致。
- 应用改造:当备中心对RDS MySQL有只读权限时,允许更新序列号失败,应用初始化成功。当容灾切换后,备中心获得RDS MySQ读写权限后,由业务请求触发重新按需获取最新的序列号。
- 测试效果:
- 主中心和备中心同步数据完成后,断开同步链路,手动设置备中心数据库为只读。
- 重新部署改造后的应用,在只读模式下,验证应用启动成功,并且业务请求失败(符合预期)。
- 手动设置备中心数据库为读写,业务请求成功,检查应用是否成功重新获取到有效序列号。
- 重新配置主中心和备中心数据同步链路。
- 容灾演练:再次进行演练来验证全业务场景。
改进前
改进后
六 小结
- 容灾演练是发现系统性问题的起点,不是终点,需要定期开展演练来保鲜系统的容灾能力。
- 云平台容灾不等于应用容灾,应用级容灾是系统性工程。
- 通过演练来检查工程能力,技术上包括云平台、应用和网络;流程上包括故障判断、容灾决策、切换操作、应急预案等。
本文为阿里云原创内容,未经允许不得转载。