故障分析总结
- 根因:主节点 AOF(Append Only File)尾部损坏,导致 Redis 启动加载 AOF 失败。哨兵(Sentinel)已将业务切换到从节点,新主已在服务。
- 影响:新主上的数据可能缺失主节点上最后一段未复制的写入(RPO≈秒级)。旧主上的 AOF 不可直接加载,直接启动可能加剧损坏或污染数据。
- 目标:在不影响线上新主稳定性的前提下,基于损坏前的 AOF 可恢复部分,回补丢失/热点键;校验一致性;重建主从与持久化策略,降低未来风险。
恢复步骤详情
以下步骤默认新主已稳定对外服务。所有修复操作均在隔离环境对“文件副本”进行,避免二次损坏。
0. 稳定与准备
- 确认当前主从角色:
- 新主:稳定对外,拒绝在旧主恢复前进行任何拓扑变更。
- 旧主:保持关闭状态,禁止自动拉起和对外服务。
- 备份与留痕(务必执行):
- 备份新主当前持久化文件(RDB/AOF,如有):冷拷贝保存。
- 备份旧主所有持久化文件:appendonly.aof、appendonly.aof.*、appendonly.aof.manifest、dump.rdb 等。
- 收集应用侧或监控侧热点 Key 列表(若无,后续可临时扫描估计)。
示例(在旧主机器):
mkdir -p /tmp/redis_aof_recovery
cp -a /data/redis/appendonly.aof* /tmp/redis_aof_recovery/ 2>/dev/null || true
cp -a /data/redis/dump.rdb /tmp/redis_aof_recovery/ 2>/dev/null || true
1. 在隔离环境修复 AOF(只对副本操作)
-
校验并尽可能修复(修复实际是“截断到最后一个完整命令”,可能丢弃损坏尾部;仅在副本上操作,避免直接损失):
注意:
- 该修复会截断不完整尾部,属于最小破坏性、官方工具支持的安全做法,但仍可能无法包含最后极少量未落盘写入。
-
启动隔离“恢复实例”(不对外,回环地址/受保护)加载修复后的 AOF:
cat > /tmp/redis_aof_recovery/redis-recovery.conf <<'EOF'
port 6390
bind 127.0.0.1
protected-mode yes
dir /tmp/redis_aof_recovery
dbfilename dump-recovery.rdb
appendonly yes
appendfilename appendonly.aof
daemonize yes
EOF
redis-server /tmp/redis_aof_recovery/redis-recovery.conf
redis-cli -p 6390 PING # 期望返回 PONG
验证加载是否正常:
redis-cli -p 6390 INFO persistence | egrep 'loading|aof_last_write_status|aof_rewrite_in_progress'
redis-cli -p 6390 DBSIZE
2. 识别并回补“丢失/热点键”
优先处理业务关注的“热点 Key”,在线、无停机回补到新主。
示例(无 ACL):
# 逐键对比 DUMP(序列化值)与 TTL,不一致则从恢复实例迁移到新主
while read k; do
# 恢复实例存在该键?
if [ "$(redis-cli -p 6390 EXISTS "$k")" = "1" ]; then
# 新主不存在则直接迁移
if [ "$(redis-cli -h <new_master_ip> -p 6379 EXISTS "$k")" != "1" ]; then
redis-cli -p 6390 MIGRATE <new_master_ip> 6379 "" 0 3000 REPLACE KEYS "$k"
else
# 均存在则比对序列化值,差异则覆盖
d1=$(redis-cli -p 6390 --raw DUMP "$k" | base64)
d2=$(redis-cli -h <new_master_ip> -p 6379 --raw DUMP "$k" | base64)
if [ "$d1" != "$d2" ]; then
redis-cli -p 6390 MIGRATE <new_master_ip> 6379 "" 0 3000 REPLACE KEYS "$k"
fi
fi
fi
done < hotkeys.txt
示例(有 ACL):
redis-cli -p 6390 MIGRATE <new_master_ip> 6379 "" 0 3000 AUTH2 <user> <pass> REPLACE KEYS <k1> <k2> ...
说明:
- MIGRATE 默认保留 TTL,REPLACE 仅在确认差异或缺失时使用,避免误覆盖。
- 对于特别大的值或大量键,建议分批执行并监控时延。
3. 可选:扩大校验范围(非热点)
- 若需要进一步降低数据差异风险,可在低峰期基于 SCAN 分批抽样比对(谨慎控制速率):
- 在恢复实例 SCAN -> 对应新主 EXISTS/DUMP 对比 -> 差异再 MIGRATE。
- 强烈建议批量、限速、离峰执行,避免影响线上。
4. 让旧主以“干净从库”身份重新加入
为避免旧主因损坏文件污染拓扑,建议以“空数据 + 全量同步”的方式重入。
在旧主机器:
# 停旧实例,隔离旧数据
systemctl stop redis || true
mkdir -p /data/redis.bad
mv /data/redis/appendonly.aof* /data/redis.bad/ 2>/dev/null || true
mv /data/redis/dump.rdb /data/redis.bad/ 2>/dev/null || true
# 配置为新主的从库(redis.conf 或运行时)
# redis.conf 增加:
# replicaof <new_master_ip> 6379
# replica-read-only yes
# appendonly yes
systemctl start redis
redis-cli -h <old_master_ip> INFO replication | egrep 'role|master_host|master_sync_in_progress'
等待 full sync 完成后,旧主即作为健康从库存在。
5. 重建持久化与基线备份(在新主)
redis-cli -h <new_master_ip> CONFIG SET appendonly yes
redis-cli -h <new_master_ip> CONFIG SET appendfsync everysec
redis-cli -h <new_master_ip> CONFIG SET auto-aof-rewrite-percentage 100
redis-cli -h <new_master_ip> CONFIG SET auto-aof-rewrite-min-size 64mb
redis-cli -h <new_master_ip> CONFIG REWRITE
redis-cli -h <new_master_ip> BGREWRITEAOF
redis-cli -h <new_master_ip> BGSAVE
# 将新生成的 AOF/RDB 做离机/异地备份
6. Sentinel 与写安全加固
redis-cli -p <sentinel_port> SENTINEL masters
redis-cli -p <sentinel_port> SENTINEL ckquorum <master_name>
redis-cli -p <sentinel_port> SENTINEL slaves <master_name>
redis-cli -h <new_master_ip> CONFIG SET min-replicas-to-write 1
redis-cli -h <new_master_ip> CONFIG SET min-replicas-max-lag 5
redis-cli -h <new_master_ip> CONFIG REWRITE
验证检查清单
- 关键数据一致性
- 抽样热点 Key(至少前 N 个)检查:TYPE、EXISTS、PTTL、DUMP 一致。
- 执行过 MIGRATE 的键复查一次,确认值与 TTL 正确。
- 主从与哨兵
- 新主:INFO replication 中 role=master,connected_slaves ≥ 1。
- 旧主:ROLE 返回 slave,master_link_status=up,master_sync_in_progress=0。
- Sentinel:SENTINEL ckquorum 通过;仅有一个主节点。
- 持久化健康
- INFO persistence 中:
- aof_enabled=1
- aof_last_bgrewrite_status=ok
- rdb_last_bgsave_status=ok
- loading=0
- 性能与稳定性
- 延迟与慢查询:redis-cli --latency(或监控平台)无异常峰值;SLOWLOG 中无异常堆积。
- 磁盘与文件系统:空间充足,IO 正常,AOF 文件大小与增长速率符合预期。
预防建议
- 文件与落盘安全
- 使用 Redis 7+ 多分段 AOF(manifest),开启 aof-use-rdb-preamble(默认开启),便于损坏时快速恢复。
- 采用 appendfsync everysec(性能/安全折中),并保留 aof-load-truncated yes(默认)以在尾部截断情况下可自动加载,但需配合告警。
- 定期 BGREWRITEAOF,设置合理阈值(如 100%、64MB)避免 AOF 过度膨胀。
- 启用 stop-writes-on-bgsave-error yes(默认)防止持久化异常时继续写入。
- 拓扑与写入保护
- 设置 min-replicas-to-write / min-replicas-max-lag,确保至少有一个同步良好的副本在线时才接受写入,降低故障瞬间的数据丢失风险。
- 哨兵参数合理化(down-after-milliseconds、failover-timeout、parallel-syncs),避免误判和长时间不可用。
- 备份与演练
- 定期冷备 AOF/RDB(含异地/对象存储),并进行真实恢复演练,确保 RTO/RPO 满足业务目标。
- 监控 aof_last_write_status、aof_last_bgrewrite_status、rdb_last_bgsave_status、disk/IO 指标,异常及时告警。
- 系统层面
- 确保宿主机磁盘与文件系统稳定(磁盘健康、无频繁掉电、禁用不稳定硬盘缓存;生产环境建议使用稳定的存储阵列与电源保护)。
- 限制操作系统层面对 Redis 进程的 OOM 风险,避免因内存压力触发进程被杀导致文件损坏。
紧急联系方式
- Redis 官方文档(参考命令与恢复流程)
- 社区支持
- Redis Google Group / GitHub Issues(针对通用问题咨询与已知问题排查)
- 内部流程
- 按贵司应急预案:联系当值 DBA / SRE 值班电话与变更审批渠道,执行高风险操作需双人复核。
