一次redis主從切換導致的資料丟失與陷入只讀狀態故障

背景

最近一組業務redis資料不斷增長需要擴容記憶體，而擴容記憶體則需要重啟云主機，在按計劃擴容升級執行主從切換時意外發生了資料丟失與master進入只讀狀態的故障，這里記錄分享一下，

業務redis高可用架構

該組業務redis使用的是一主一從，通過sentinel集群實作故障時的自動主從切換，這套架構已經平穩運行數年，經歷住了多次實戰的考驗，
高可用架構大體如下圖所示:

簡單說一下sentinel實作高可用的原理：
集群的多個(2n+1,N>1)哨兵會定期輪詢redis的所有master/slave節點，如果sentinel集群中超過一半的哨兵判定redis某個節點已經主觀下線，就會將其判定為客觀下線進行相應處理：

1. 如果下線節點是master，選定一個正常work的slave將其選定為新的master節點，
2. 如果下線節點是slave，將其從slave節點中移除，

如果已經被客觀下線的節點恢復了正常，sentinel中超過一半哨兵確認后則將其加回可用的slave節點，
所有需要讀寫redis的server并不需要直接寫死redis 主從配置，而是通過訪問sentinel獲取當前redis的主從可用狀態，具體實作方式可以定時查詢sentinel詢問更新，也可以通過訂閱機制讓sentinel在主從變動時主動通知訂閱方更新，
sentinel實作高可用的詳細原理這里不做過多贅述，有興趣的小伙伴可以移步參考文獻中的相關資料，

具體記憶體擴容流程

sentinel可以在檢測到故障時自動切換redis主從，也可以主動執行sentinel failover mastername 命令實作手動切換主從，所以這次的記憶體擴容重啟流程設計如下(A代表初始master所在云主機，B代表初始slave所在云主機)：

1. 升級主機B記憶體配置，重啟主機B
2. 檢查B重啟后其上的redis slave是否重新同步master資料完成，包括:
   2.1 查看slave redis log是否例外，無例外pass
   2.2 使用info keyspace命令check master、slave 各db key數量是否一致，無例外pass
   2.3 在master寫入一個測驗key，在slave上check是否同步成功
   2.4 觀察依賴server log是否有例外
3. 使用sentinel failover mastername命令手動主從切換，主機A變成新slave，主機B變成新master，根據以前手動切換的經驗走到這一步基本上就穩了--因為這里本質上和一次普通主從切換已經沒有區別了，
4. 升級主機A記憶體配置，重啟主機A，執行以下check:
   4.1 查看新slave redis log是否例外
   4.2 使用info keyspace命令check 新master、新slave 各db key數量是否一致，無例外pass
   4.3 在新master寫入測驗key，在新slave上check是否同步成功
   4.4 觀察依賴server log是否有例外

至此，若以上步驟都正常通過，一個完美的redis記憶體升級作業就完成了，

主從切換后資料丟失

結果正是沒有想過可能會出問題的步驟3反而出現了問題，直接導致了主從切換后丟掉了部分資料，并且新master進入只讀狀態將近十分鐘，
當時的情況是這樣的：
在執行完步驟3后，check 新slave redis log無例外，正在考慮觀察一會兒后執行主機A的升級重啟操作，api的分鐘級別例外監控觸發了一小波redis相關報警，第一反應在新master與新slave上執行了info keyspace查看key數量是否已經不一致，結果發現master/slave的key數量是一致的--但是再仔細一看：和切換前的key總數百萬級相比切換后key總數降到了十萬級--大部分key資料被丟失了，
查看新master、新slave log都沒有發現明顯log可以解釋為什么主從切換后會丟失一大半資料這一現象，這時小伙伴第一次提到了是不是記憶體不夠了，當時自己略一思考馬上回復到：新master剛升級了記憶體，不可能內容擴大后反而記憶體不足的，所以應該不是這個問題，
n分鐘后...
小伙伴再一次提出了是不是maxmemory問題，這一下子點中了關鍵點，馬上想到主機B升級了記憶體是不會有系統層面記憶體不足的問題，但是redis的記憶體使用實際上還會受到maxmemory引數限制，馬上在新master上執行config get maxmemory, 只有3GB，而升級前資料實際使用記憶體超過了6GB！
立刻調大了新master的maxmemory引數，redis很快恢復了可讀寫正常狀態，一大波redis只讀引發的告警通知開始快速下降，

原因定位

緊張又刺激的故障處理就這么過去了，在優先處理完丟失key資料恢復作業之后，開始回顧整理故障的詳細原因，總共有如下幾個疑問：

1. 明確記得上個月給主機A、B上的redis都通過config set maxmemory設定為了7GB，為什么出現問題時查詢B上redis 的maxmemory配置卻變成了3GB？
2. 如果主機B的maxmemory是3GB，其作為slave時為什么從master同步超過6GB的資料時不會有問題？--在主從切換前無論是查看info keyspace還是在master上寫入測驗key同步check都是OK的，
3. 為什么主從切換后主機B上的key資料會丟失？這個是因為maxmemory設定過小，是故障的直接原因，
4. 為什么新master由于maxmemory引數超限進入只讀狀態且洗掉部分資料后，新master中實際資料占用的大小依然超過>3GB?

如上四個疑問除了問題3已經明確了，剩下三個問題都讓人疑惑--事出詭異必有妖，經過一番探尋得出其答案：

1. 上個月修改redis maxmemory時，只通過config set命令修改了其運行時配置，而沒有修改對應配置redis.conf上maxmemory的值，主機B上redis在重啟后就會從redis.conf上載入該maxmemory，該配置正是3GB，同時maxmemory引數是redis節點獨立的配置，slave并不會從master同步該值，
2. 在redis5.0版本之后，redis引入了一個新的引數replica-ignore-maxmemory，其官方檔案定義如下：

Maxmemory on replicas
By default, a replica will ignore maxmemory (unless it is promoted to master after a failover or manually). It means that the eviction of keys will be handled by the master, sending the DEL commands to the replica as keys evict in the master side.
This behavior ensures that masters and replicas stay consistent, which is usually what you want. However, if your replica is writable, or you want the replica to have a different memory setting, and you are sure all the writes performed to the replica are idempotent, then you may change this default (but be sure to understand what you are doing).
Note that since the replica by default does not evict, it may end up using more memory than what is set via maxmemory (since there are certain buffers that may be larger on the replica, or data structures may sometimes take more memory and so forth). Make sure you monitor your replicas, and make sure they have enough memory to never hit a real out-of-memory condition before the master hits the configured maxmemory setting.
To change this behavior, you can allow a replica to not ignore the maxmemory. The configuration directives to use is:
replica-ignore-maxmemory no

大意是redis作為slave時默認會無視maxmemory引數，這樣可以保證主從的資料始終保持一致，當master/slave實際資料大小均小于其maxmemory設定時，這個引數沒有任何影響，而這次丟失資料的原因正是因為主機B重啟后作為slave時maxmemory(3GB)小于實際資料大小(6GB+)，此時replica-ignore-maxmemory 默認開啟保證作為slave時直接無視maxmemory的限制，而當執行sentinel failover mastername將主機B切換為新master后，新master不會受replica-ignore-maxmemory影響，發現自身maxmemory<實際資料大小后直接開始主動淘汰key，從而導致了資料丟失，
4. 至于主機B作為master執行淘汰key策略并最終進入只讀狀態后，其實際資料大小依然>3GB的原因，則是由于線上redis配置的策略是volatile-lru策略，該策略只會淘汰有過期時間的key，對于不過期的key是不淘汰的，

總結

總的來看這次故障的根本原因還是個人對于redis的配置、操作經驗不足，如果在調整運行時maxmemory時能做到以下二者之一，這次故障就不會出現了：

1. 調整運行時maxmemory時同時調整組態檔maxmemory保持一致，
2. 將組態檔maxmemory設定為0--表示不限制記憶體使用，

正是因為對redis的認識和經驗不足，沒有想過到運行時配置與靜態配置不一致可能導致的問題，這次不可避免的踩坑了，
但是，作為一個本職RD，半路接手基本靠自學的兼職運維，要考慮到maxmemory的運行配置與靜態配置一致性問題好像也確實不是那么的理所當然??，
處理完這次故障后，特意在網上搜索了一番redis主從切換的注意事項、踩坑文章，想看看有沒有人提到類似的坑，但是并無所獲，難道這個坑真的沒其他人踩(分享)過？陷入思考...
如果有經驗豐富的小伙伴看到這里，也歡迎不吝賜教指導一下redis主從的切換的各類常識與常見大坑！

轉載請注明出處，原文地址：https://www.cnblogs.com/AcAc-t/p/redis_master_switch_failure.html

參考

https://redis.io/docs/management/replication/
https://www.cnblogs.com/buttercup/p/14051301.html
https://zhuanlan.zhihu.com/p/151740247
https://www.cnblogs.com/AcAc-t/p/redis_master_switch_failure.html
https://zhuanlan.zhihu.com/p/320651292

標籤：NoSQL

上一篇：es筆記三之term，match，match_phrase 等查詢方法介紹

下一篇：返回列表