上一講我們安裝 etcd 服務端,這一講我們來一起學學如何使用 etcd 客戶端常見的命令。文章內容來源於參考資料,如若侵權,請聯繫刪除,謝謝。 > etcd可通過客戶端命令行工具 etcdctl 對etcd進行請求操作 ```sh # 幫助命令,會列出所有的命令和選項,在記不太清命令的時候,可以使 ...
背景
最近一組業務redis數據不斷增長需要擴容記憶體,而擴容記憶體則需要重啟雲主機,在按計劃擴容升級執行主從切換時意外發生了數據丟失與master進入只讀狀態的故障,這裡記錄分享一下。
業務redis高可用架構
該組業務redis使用的是一主一從,通過sentinel集群實現故障時的自動主從切換,這套架構已經平穩運行數年,經歷住了多次實戰的考驗。
高可用架構大體如下圖所示:
簡單說一下sentinel實現高可用的原理:
集群的多個(2n+1,N>1)哨兵會定期輪詢redis的所有master/slave節點,如果sentinel集群中超過一半的哨兵判定redis某個節點已經主觀下線,就會將其判定為客觀下線進行相應處理:
- 如果下線節點是master,選定一個正常work的slave將其選定為新的master節點。
- 如果下線節點是slave,將其從slave節點中移除。
如果已經被客觀下線的節點恢復了正常,sentinel中超過一半哨兵確認後則將其加回可用的slave節點。
所有需要讀寫redis的server並不需要直接寫死redis 主從配置,而是通過訪問sentinel獲取當前redis的主從可用狀態,具體實現方式可以定時查詢sentinel詢問更新,也可以通過訂閱機制讓sentinel在主從變動時主動通知訂閱方更新。
sentinel實現高可用的詳細原理這裡不做過多贅述,有興趣的小伙伴可以移步參考文獻中的相關資料。
具體記憶體擴容流程
sentinel可以在檢測到故障時自動切換redis主從,也可以主動執行sentinel failover mastername 命令實現手動切換主從,所以這次的記憶體擴容重啟流程設計如下(A代表初始master所在雲主機,B代表初始slave所在雲主機):
- 升級主機B記憶體配置,重啟主機B
- 檢查B重啟後其上的redis slave是否重新同步master數據完成,包括:
2.1 查看slave redis log是否異常,無異常pass
2.2 使用info keyspace命令check master、slave 各db key數量是否一致,無異常pass
2.3 在master寫入一個測試key,在slave上check是否同步成功
2.4 觀察依賴server log是否有異常 - 使用sentinel failover mastername命令手動主從切換,主機A變成新slave,主機B變成新master,根據以前手動切換的經驗走到這一步基本上就穩了--因為這裡本質上和一次普通主從切換已經沒有區別了。
- 升級主機A記憶體配置,重啟主機A,執行以下check:
4.1 查看新slave redis log是否異常
4.2 使用info keyspace命令check 新master、新slave 各db key數量是否一致,無異常pass
4.3 在新master寫入測試key,在新slave上check是否同步成功
4.4 觀察依賴server log是否有異常
至此,若以上步驟都正常通過,一個完美的redis記憶體升級工作就完成了。
主從切換後數據丟失
結果正是沒有想過可能會出問題的步驟3反而出現了問題,直接導致了主從切換後丟掉了部分數據,並且新master進入只讀狀態將近十分鐘。
當時的情況是這樣的:
在執行完步驟3後,check 新slave redis log無異常,正在考慮觀察一會兒後執行主機A的升級重啟操作,api的分鐘級別異常監控觸發了一小波redis相關報警。第一反應在新master與新slave上執行了info keyspace查看key數量是否已經不一致,結果發現master/slave的key數量是一致的--但是再仔細一看:和切換前的key總數百萬級相比切換後key總數降到了十萬級--大部分key數據被丟失了。
查看新master、新slave log都沒有發現明顯log可以解釋為什麼主從切換後會丟失一大半數據這一現象,這時小伙伴第一次提到了是不是記憶體不夠了,當時自己略一思考馬上回覆到:新master剛升級了記憶體,不可能內容擴大後反而記憶體不足的,所以應該不是這個問題。
n分鐘後...
小伙伴再一次提出了是不是maxmemory問題,這一下子點中了關鍵點,馬上想到主機B升級了記憶體是不會有系統層面記憶體不足的問題,但是redis的記憶體使用實際上還會受到maxmemory參數限制,馬上在新master上執行config get maxmemory, 只有3GB,而升級前數據實際使用記憶體超過了6GB!
立刻調大了新master的maxmemory參數,redis很快恢復了可讀寫正常狀態,一大波redis只讀引發的告警通知開始快速下降。
原因定位
緊張又刺激的故障處理就這麼過去了,在優先處理完丟失key數據恢復工作之後,開始回顧整理故障的詳細原因,總共有如下幾個疑問:
- 明確記得上個月給主機A、B上的redis都通過config set maxmemory設置為了7GB,為什麼出現問題時查詢B上redis 的maxmemory配置卻變成了3GB?
- 如果主機B的maxmemory是3GB,其作為slave時為什麼從master同步超過6GB的數據時不會有問題?--在主從切換前無論是查看info keyspace還是在master上寫入測試key同步check都是OK的。
- 為什麼主從切換後主機B上的key數據會丟失?這個是因為maxmemory設置過小,是故障的直接原因。
- 為什麼新master由於maxmemory參數超限進入只讀狀態且刪除部分數據後,新master中實際數據占用的大小依然超過>3GB?
如上四個疑問除了問題3已經明確了,剩下三個問題都讓人疑惑--事出詭異必有妖,經過一番探尋得出其答案:
- 上個月修改redis maxmemory時,只通過config set命令修改了其運行時配置,而沒有修改對應配置redis.conf上maxmemory的值,主機B上redis在重啟後就會從redis.conf上傳入該maxmemory,該配置正是3GB,同時maxmemory參數是redis節點獨立的配置,slave並不會從master同步該值。
- 在redis5.0版本之後,redis引入了一個新的參數replica-ignore-maxmemory,其官方文檔定義如下:
Maxmemory on replicas
By default, a replica will ignore maxmemory (unless it is promoted to master after a failover or manually). It means that the eviction of keys will be handled by the master, sending the DEL commands to the replica as keys evict in the master side.
This behavior ensures that masters and replicas stay consistent, which is usually what you want. However, if your replica is writable, or you want the replica to have a different memory setting, and you are sure all the writes performed to the replica are idempotent, then you may change this default (but be sure to understand what you are doing).
Note that since the replica by default does not evict, it may end up using more memory than what is set via maxmemory (since there are certain buffers that may be larger on the replica, or data structures may sometimes take more memory and so forth). Make sure you monitor your replicas, and make sure they have enough memory to never hit a real out-of-memory condition before the master hits the configured maxmemory setting.
To change this behavior, you can allow a replica to not ignore the maxmemory. The configuration directives to use is:
replica-ignore-maxmemory no
大意是redis作為slave時預設會無視maxmemory參數,這樣可以保證主從的數據始終保持一致。當master/slave實際數據大小均小於其maxmemory設置時,這個參數沒有任何影響,而這次丟失數據的原因正是因為主機B重啟後作為slave時maxmemory(3GB)小於實際數據大小(6GB+),此時replica-ignore-maxmemory 預設開啟保證作為slave時直接無視maxmemory的限制,而當執行sentinel failover mastername將主機B切換為新master後,新master不會受replica-ignore-maxmemory影響,發現自身maxmemory<實際數據大小後直接開始主動淘汰key,從而導致了數據丟失。
4. 至於主機B作為master執行淘汰key策略並最終進入只讀狀態後,其實際數據大小依然>3GB的原因,則是由於線上redis配置的策略是volatile-lru策略,該策略只會淘汰有過期時間的key,對於不過期的key是不淘汰的。
總結
總的來看這次故障的根本原因還是個人對於redis的配置、操作經驗不足,如果在調整運行時maxmemory時能做到以下二者之一,這次故障就不會出現了:
- 調整運行時maxmemory時同時調整配置文件maxmemory保持一致。
- 將配置文件maxmemory設置為0--表示不限制記憶體使用。
正是因為對redis的認識和經驗不足,沒有想過到運行時配置與靜態配置不一致可能導致的問題,這次不可避免的踩坑了。
但是,作為一個本職RD,半路接手基本靠自學的兼職運維,要考慮到maxmemory的運行配置與靜態配置一致性問題好像也確實不是那麼的理所當然