维护方案概述

• 适用对象与版本范围
  • 数据库类型：MySQL（建议采用 8.0/8.4 LTS 稳定版本）
  • 存储引擎：InnoDB（全库统一使用 InnoDB）
  • 操作系统：Linux（x86_64），文件系统 XFS/EXT4
  • 字符集/排序规则：utf8mb4/utf8mb4_0900_ai_ci（统一标准）
• 业务与目标
  • 场景：在线交易（OLTP），高并发、低延迟、强一致需求
  • 可用性：关键业务，建议 HA ≥ 99.99%
  • 数据规模：大型（需要容量规划和生命周期管理）
  • 目标：RPO → ≤ 5 分钟（通过增量备份+binlog），RTO → ≤ 15 分钟（通过自动故障切换+标准化恢复流程）。具体值需结合现网压测与演练验证后固化。
• 推荐总体架构
  • 生产集群：MySQL InnoDB Cluster（Group Replication 单主模式），3 或 5 节点分布在至少 2 个可用区，前端使用 MySQL Router 连接
  • 跨地域灾备：独立异地只读复制集（异步或半同步），用于容灾与只读报表
  • 存储：高性能 SSD/NVMe，专用独立卷（数据/日志分卷）
  • 参数基线（关键业务优先一致性）
    • binlog_format=ROW，gtid_mode=ON，enforce_gtid_consistency=ON
    • innodb_flush_log_at_trx_commit=1，sync_binlog=1
    • innodb_buffer_pool_size：结合工作集与内存规划（建议占物理内存 50%–70%，留足 OS 文件缓存与其他进程）
    • innodb_log_file_size 与总 redo 容量：满足高峰写入与检查点压力（常见总量 8–32GB，按压测确定）
    • thread_pool（如使用支持版本/发行版）或基于连接池管理应用侧并发
  • 监控体系：Prometheus + mysqld_exporter/Performance Schema + 可视化（Grafana/PMM），集中告警（邮件/IM/短信）
  • 变更策略：在线 DDL 优先使用 MySQL 8 的 Online/Instant DDL 能力；无法即时生效的复杂结构变更使用 gh-ost/pt-online-schema-change，经灰度与演练后实施

日常维护检查清单

• 每日（班前/班中）
  • 可用性与连接
    • 实例/集群存活、Router 转发正常
    • Threads_connected/Threads_running、连接失败/中断数异常波动
  • 复制与集群状态
    • Group Replication：所有成员 ONLINE、单主正确、applier_queue_length/transactions_in_queue 正常
    • 异地副本：复制延迟（Seconds_Behind_Master）/IO_THREAD/SQL_THREAD 正常
  • 性能健康
    • QPS/TPS、平均/95 线延迟对比基线
    • InnoDB buffer pool 命中率、脏页比例、redo 写入延迟
    • Top N 慢 SQL（digest 归并）
  • 资源与存储
    • 主机 CPU（iowait）、内存可用、磁盘空间（>20% 余量）
    • 临时表落盘比例、临时空间容量
  • 日志与备份
    • error log 新增严重告警/崩溃/死锁频发
    • 上次备份结果、binlog 连续性与投递到对象存储情况
  • 事务与锁
    • 长事务（>5/10 分钟）、行锁等待/死锁是否异常
• 每周
  • 慢 SQL清单复盘与索引优化计划（EXPLAIN/成本、回归测试）
  • 统计信息与直方图：必要列更新 ANALYZE TABLE / 创建直方图（仅选择性高但分布不均的列）
  • 复制/集群故障演练小样（单节点重启/流量切换演练）
  • 参数与资源评审：连接池、buffer/redo、IOPS 利用率
  • 数据生命周期：历史大表分区/归档进度检查
• 每月
  • 备份恢复演练（沙箱恢复 + PITR），记录耗时与步骤
  • 容量规划：数据增速、对象数、索引规模，预测 3–6 个月容量
  • 安全与权限审计：禁用闲置账号、最小权限核查、密码轮换抽检
  • 软件补丁计划评估（小版本升级评估与灰度）
• 每季度/半年度
  • 全链路压测与SLA复核，HA/故障切换演练（含跨地域）
  • 密钥/证书轮换、加密策略复核
  • 规范与Runbook更新、团队演练

性能监控指标说明

• 连接与并发
  • Threads_running、Threads_connected、Aborted_connects
  • Connection_errors_xxx（认证/握手失败）
  • 指标解释：持续高 Threads_running 伴随延迟上升，常见为锁争用或 IO 瓶颈
• 请求与延迟
  • QPS/TPS、每类语句的平均/95 线延迟（events_statements_summary_by_digest）
  • Queries/Second 与应用侧请求量基线对齐
• InnoDB 核心
  • Buffer pool：命中率（期望≥99%）、脏页比例、页读取/写入速率
  • Redo：写入吞吐、fsync 次数/延迟、checkpoint age 逼近阈值预警
  • Row lock：等待次数/时间、死锁数（show engine innodb status / P_S tables）
• 事务与元数据
  • 打开/活动事务数、长事务清单（information_schema.innodb_trx）
  • Metadata lock 等待（sys.schema_table_lock_waits）
• 临时与排序
  • Created_tmp_disk_tables、tmpdir 使用、sort_merge_passes
• 复制/集群
  • 异步复制：Seconds_Behind_Master、SQL/IO 延迟、retrieved/applied 差值
  • Group Replication：member_state、primary_member、transactions_in_queue、applier_queue_length、certification conflicts
• 存储与系统
  • 磁盘容量与增长率、设备延迟（读/写）、CPU iowait、网络丢包/延迟
• 告警建议
  • 采用“基线+阈值”策略：以历史 7–14 天的同时间段 P95 为基线；偏离超过一定百分比触发（如 >30% 持续 5 分钟）
  • 硬阈值示例（需结合基线验证）：复制延迟 > 10s；磁盘使用 > 80%；iowait > 15%；binlog 不连续或导出失败立即告警

备份恢复策略详述

• 目标与范围
  • 保护对象：数据文件、binlog、重要配置（my.cnf）、用户与权限、DDL 变更记录
  • 恢复目标：整库、指定库/表、按时间点（PITR）、快速重建副本
• 备份类型与工具
  • 物理热备：Percona XtraBackup（开源，适合大规模，支持增量）
  • 逻辑备份：mysqldump/mysqlpump（小规模元数据/账户/特定表）
  • 二进制日志：持续归档 binlog 到对象存储（加密+校验）
  • 实例快速克隆：MySQL Clone Plugin（受限场景用于副本快速初始化）
• 调度与保留
  • 周全量（物理）+ 日增量（物理）+ 实时 binlog 归档
  • 保留周期：全量≥4 份、增量≥14 天、binlog≥35 天（依据合规要求调整）
  • 3-2-1 原则：至少 3 份副本、跨 2 种介质、1 份异地/离线
• 一致性与负载控制
  • 备份走副本优先，避免主库高峰压力
  • 开启 --throttle 控制 IO，错峰执行（业务低峰）
• 加密与完整性
  • 备份包加密（如 AES-256），传输使用 TLS
  • 生成校验和（sha256）与备份清单，落库记录元信息（LSN、GTID 集）
• 恢复演练与校验
  • 每月至少一次全流程恢复到隔离环境，完成校验查询/一致性检查
  • 自动化脚本固化：恢复步骤、超时、回滚策略
• 标准恢复流程（示例）
  • 整库到指定时间点（PITR）
    1. 准备最近一次全量备份并按顺序应用增量（xtrabackup --prepare）
    2. 恢复到目标实例数据目录（确保存储权限/属主正确）
    3. 回放 binlog 至目标时间点（mysqlbinlog --start-datetime/--stop-datetime 或基于 GTID）
    4. 校验系统库与业务库对象数、校验和、应用层回归用例
  • 重建副本
    1. 使用 XtraBackup/Clone 快速初始化数据
    2. 配置复制（基于 GTID），校验延迟、只读属性、数据一致性（采样校验）

安全管理措施建议

• 访问与网络
  • 数据库仅内网访问，细粒度安全组/防火墙，禁止公网直连
  • 强制 TLS（客户端、复制链路），最低 TLS1.2，受信任 CA 证书与周期轮换
  • 跳板机与堡垒审计，数据库主机最小开放端口
• 账户与权限
  • 角色化管理（CREATE ROLE/GRANT），最小权限原则
  • 分环境分账号（读写/只读/运维分离），按业务功能限定 schema 与权限
  • 密码策略：validate_password 插件（复杂度/过期），失败锁定与审计
  • 禁止 root 远程直连；日常运维使用受限管理员账号；应用使用专用账号与连接池
  • 定期审计与清理闲置账号；限制 SUPER/RELOAD 等高危权限
• 配置与审计
  • 关键安全参数
    • sql_mode 启用严格模式（含 STRICT_TRANS_TABLES）
    • log_bin=ON、binlog_format=ROW、super_read_only 用于只读副本
    • require_row_format_for_subqueries 等按需启用（遵循兼容性评审）
  • 数据加密
    • 静态加密：InnoDB 表空间加密 + keyring_file/keyring_encrypted_file 插件
    • binlog 加密（binlog_encryption=ON）
    • 备份加密（外部工具/存储侧）
  • 审计
    • 如持有 MySQL Enterprise 许可证，可启用 Enterprise Audit
    • 社区方案可通过 ProxySQL/网关层记录审计日志或操作系统级审计，确保高频路径性能评估与限流
• 变更与发布
  • 变更评审（风险评估、回滚方案、演练记录）
  • Online/Instant DDL 优先，无法在线的结构变更使用 gh-ost/pt-osc 并灰度
  • DDL/数据修复操作需变更单与窗口控制、全量备份快照保护
• 主机与系统
  • 最小化安装、及时安全补丁、时间同步（NTP）
  • 文件权限与所有者严格控制；敏感文件（密钥/配置）权限最小化
  • 资源限额与 cgroup 控制（避免“拖垮”邻接服务）

应急预案处理流程

• 分类与判定
  • A 类：主库故障/不可写
  • B 类：复制/集群异常（成员脱落、延迟突增）
  • C 类：性能劣化（延迟/错误率上升）
  • D 类：空间/存储故障（磁盘爆满/介质错误）
  • E 类：数据错误/误操作（删除/更新异常）
  • F 类：安全事件（账号泄露/异常访问）
• 通用步骤
  1. 快速告警与分级响应（DBA 值班、SRE、应用负责人）
  2. 冻结现场（收集 error log、监控快照、SHOW ENGINE INNODB STATUS）
  3. 确定影响面与范围（库/表/业务域）
  4. 选择处置路径（自动/手动切换、限流、回退、恢复）
  5. 变更与恢复实施，业务验证与回归
  6. 复盘与补救（根因分析、长期措施）
• 典型场景处置
  • A. 主库故障
    • InnoDB Cluster：由 Group Replication + Router 自动提升健康成员
    • 人工介入条件：脑裂风险、仲裁不达标、数据版本不一致
    • 事后：故障节点下线排错，按标准流程重新入群（clone/xtrabackup）
  • B. 复制/集群异常
    • 延迟突增：检查 applier 队列、慢 SQL、DDL；必要时暂时削峰或路由只读
    • 成员脱落：确认网络/磁盘/参数，清理 errant GTID；推荐使用 clone 重拉
  • C. 性能劣化
    • 排查顺序：资源（CPU/iowait/磁盘）→ 锁与长事务 → 热点行/索引缺失 → 批量慢 SQL
    • 应急手段：限流/降级、临时索引（invisible→visible 切换）、杀死失控会话（留证）
  • D. 磁盘空间告急
    • 立即：切只读或限流；清理过期 binlog（依据保留策略）、转移中间文件
    • 中期：扩容或冷热数据分层，优化 binlog/备份投递策略
  • E. 误操作/数据错误
    • 立刻阻断写入（只读）、标记影响范围
    • 基于 PITR 在隔离实例恢复并比对抽取，生成补丁 SQL 回灌或局部表替换
  • F. 安全事件
    • 撤销可疑凭据、强制密码轮换、回收相关权限
    • 审计日志回溯与法务留存，补齐网络与主机加固措施
• 沟通与回退
  • 预置沟通模板（事件说明、影响范围、预计恢复时间、进展）
  • 回退标准：新路径不达预期/新问题出现立即回退到上一个已知稳定状态

维护周期和执行标准

• 频率与职责
  • 每日：DBA/SRE 值班完成健康巡检、告警响应、备份结果确认（SLA：工作时段内 15 分钟响应）
  • 每周：DBA 完成慢 SQL 复盘、统计信息维护、容量与复制状态评审
  • 每月：DBA 组织恢复演练、权限审计、参数基线复核与小版本升级评估
  • 每季度/半年度：架构与SLA复核、故障演练、密钥/证书轮换、Runbook 更新
• 执行标准与验收
  • 监控告警：覆盖率≥95%，告警抑制与分级清晰，误报率可控
  • 备份：成功率 100%，演练通过率 100%，恢复 RTO/RPO 达标
  • 安全：账号最小权限无高危外泄，周期审计有记录与整改闭环
  • 变更：所有生产 DDL/DML 具备评审单与回滚方案，变更窗口与验证通过
  • 文档：变更与故障均有复盘文档，知识库更新不滞后
• 标准化脚本与清单（示例要点）
  • 巡检脚本：采集关键指标（连接、锁、慢 SQL、复制、磁盘）
  • 备份脚本：全量/增量/校验/上传/清理，生成报表与告警
  • 恢复脚本：沙箱自动化一键恢复+校验
  • 集群脚本：成员状态检查、一键拉起/重新入群（严格权限控制）
• 变更窗口与灰度
  • 业务低峰窗口执行，变更前后指标对比（至少 30 分钟观察）
  • 灰度范围与回滚点明确（DDL 前有快照/备份/影子表）

附加建议（落地提示）

• 在上线前完成：容量压测、故障切换演练、PITR 演练、统一参数与连接池配置固化
• 使用基线驱动的性能与告警阈值，避免“拍脑袋”阈值导致告警风暴
• 对历史大表采用分区或归档表（仅对归档型数据），避免激进重建；必要时评估存储成本与检索 SLA
• 定期回看应用 SQL 模式（N+1、批量写、无索引扫描），推动从源头优化

本方案遵循稳定版本功能与行业最佳实践，避免激进优化，关键参数与阈值均需结合实际基线与演练结果最终固化。