1 事务的基本概念

1.1 事务定义

事务:是用户定义的一个数据库操作序列,这些操作要么全做,要么全不做,一个不可分割的工作单位。

事务和程序比较:

  1. 在关系数据库中,一个事务可以是一条或多条SQL语句,也可以包含一个或多个程序
  2. 一个程序通常包含多个事务

1.2 定义事务

1.2.1 显式定义方式

  • COMMIT:表示提交,即提交事务的所有操作
  • ROLLBACK:表示回滚,将事务中对数据库的所有已完成的操作全部撤销,回滚到事务开始时的状态
1
2
3
4
5
BEGIN TRANSACTION                   BEGIN TRANSACTION
    SQL 语句1                          SQL 语句1
    SQL 语句2                          SQL 语句2
    。。。。。                          。。。。。
COMMIT                              ROLLBACK

1.2.2 隐式方式

当用户没有显式地定义事务时,DBMS按缺省规定自动划分事务。

1.3 事务的ACID特性

  1. 原子性(Atomicity):逻辑工作单位, 事务中包括的诸操作要么都做,要么都不做
  2. 一致性(Consistency):从一个一致性状态到另一个一致性状态
  3. 隔离性(Isolation):事务之间不能互相干扰,即一个事务的内部操作及使用的数据对其他并发事务是隔离的,并发执行的各个事务之间不能互相干扰
  4. 持续性(Durability ):改变是永久的,一个事务一旦提交,它对数据库中数据的改变就应该是永久性的,接下来的其他操作或故障不应该对其执行结果有任何影响

事务ACID特性可能遭到破坏的因素有:

  1. 多个事务并行运行时,不同事务的操作交叉执行。
  2. 事务在运行过程中被强行停止。

2 数据库恢复概述

计算机软、硬件故障等系统故障和操作员的失误、恶意的破坏等人为故障是不可避免的。把数据库从错误状态恢复到某一已知的正确状态(亦称为一致状态或完整状态),这就是数据库的恢复。

恢复子系统是数据库管理系统的一个重要组成部分,而且还相当庞大,通常占整个系统代码的10%以上。

3 故障的种类

3.1 事务内部的故障

有的是可以通过事务程序本身发现的(见下面转账事务的例子),有的是非预期的,不能由事务程序处理。

例如,银行转账事务,这个事务把一笔金额从一个账户甲转给另一个账户乙。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
BEGIN TRANSACTION
 读账户甲的余额BALANCE;
 BALANCE = BALANCE - AMOUNT;  # (AMOUNT为转账金额)
 写回BALANCE;
 IF (BALANCE < 0) THEN
 {
      打印'金额不足,不能转账'
      ROLLBACK; # (撤销刚才的修改,恢复事务)
 }
 ELSE
 {
      读账户乙的余额BALANCE1;
      BALANCE1 = BALANCE1 + AMOUNT;
      写回BALANCE1;
      COMMIT
  }

这个例子所包括的两个更新操作要么全部完成要么全部不做。否则就会使数据库处于不一致状态,例如只把账户甲的余额减少了而没有把账户乙的余额增加。

在这段程序中若产生账户甲余额不足的情况,应用程序可以发现并让事务滚回,撤销已作的修改,恢复数据库到正确状态。

事务内部更多的故障是非预期的,是不能由应用程序处理的。例如:

  1. 运算溢出
  2. 并发事务发生死锁而被选中撤销该事务
  3. 违反了某些完整性限制等

以后,事务故障仅指这类非预期的故障。事务故障意味着事务没有达到预期的终点,因此数据库可能处于不正确的状态。

事务故障的恢复:撤消事务(UNDO)

3.2 系统故障

系统故障称为软故障,是指造成系统停止运转的任何事件,使得系统要重新启动。整个系统的正常运行突然被破坏,所有正在运行的事务都非正常终止。

系统故障的常见原因:

  1. 特定类型的硬件错误(如CPU故障)
  2. 操作系统故障
  3. DBMS代码错误
  4. 系统断电

虽然不破坏数据库,但是内存中数据库缓冲区的信息全部丢失,一些尚未完成的事务的结果可能已送入物理数据库,从而数据库可能处于不正确的状态。

若发生系统故障时,事务未提交:

  • 恢复策略:强行撤消(UNDO)所有未完成事务

发生系统故障时,事务已提交,但缓冲区中的信息尚未完全写回到磁盘上:

  • 复策略:重做(REDO)所有已提交的事务

3.3 介质故障

介质故障称为硬故障,指外存故障,如磁盘损坏、磁头碰撞、操作系统的某种潜在错误
以及瞬时强磁场干扰等。

这类故障将破坏数据库或部分数据库,并影响正在存取这部分数据的所有事务。这类故障比前两种故障发生的可能性小得多,但破坏性最大。

介质故障的恢复

  1. 装入数据库发生介质故障前某个时刻的数据副本
  2. 重做自此时始的所有成功事务,将这些事务已提交的结果重新记入数据库

3.4 计算机病毒

计算机病毒是一种人为的故障或破坏,是一些恶作剧者研制的一种计算机程序,可以繁殖和传播。

有的计算机病毒传播很快,一旦侵入系统就马上摧毁系统;有的病毒有较长的潜伏期,计算机在感染后数天或数月才开始发病,会破坏、盗窃系统中的数据,破坏系统文件。

3.5 故障总结

各类故障,对数据库的影响有两种可能性

  1. 一是数据库本身被破坏
  2. 二是数据库没有被破坏,但数据可能不正确,这是由于事务的运行被非正常终止造成的。

数据库中任何一部分被破坏或不正确的数据可以根据存储在系统别处的冗余数据来重建,虽然恢复的基本原理很简单,但是实现技术的细节却相当复杂。

4 恢复的实现技术

恢复操作的基本原理:冗余,即利用存储在系统其它地方的冗余数据来重建数据库中已被破坏或不正确的那部分数据。

恢复机制涉及的关键问题是如何建立冗余数据(数据转储和登录日志文件),以及如何利用这些冗余数据实施数据库恢复。

4.1 数据转储

转储是指DBA将整个数据库复制到磁带或另一个磁盘上保存起来的过程,备用的数据称为后备副本或后援副本

数据库遭到破坏后可以将后备副本重新装入,重装后备副本只能将数据库恢复到转储时的状态。要想恢复到故障发生时的状态,必须重新运行自转储以后的所有更新事务。

4.1.1 静态转储与动态转储

静态转储是在系统中无运行事务时进行的转储操作,即转储开始时数据库处于一致性状态,而转储期间不允许对数据库的任何存取、修改活动,得到的一定是一个数据一致性的副本 。

优点:实现简单

缺点:转储必须等待正运行的用户事务结束 ,新的事务必须等转储结束,降低了数据库的可用性。

动态转储是指转储期间允许对数据库进行存取或修改。即转储操作与用户事务并发进行。

优点:

  1. 不用等待正在运行的用户事务结束
  2. 不会影响新事务的运行

缺点:

  1. 不能保证副本中的数据正确有效

在转储期间的某个时刻Tc,系统把数据A=100转储到磁带上,而在下一时刻Td,某一事务将A改为200。转储结束后,后备副本上的A已是过时的数据了

因此需要把动态转储期间各事务对数据库的修改活动登记下来,建立日志文件。后备副本加上日志文件才能把数据库恢复到某一时刻的正确状态。

4.1.2 海量转储与增量转储

  • 海量转储: 每次转储全部数据库
  • 增量转储: 只转储上次转储后更新过的数据

海量转储与增量转储比较:

  • 从恢复角度看,使用海量转储得到的后备副本进行恢复往往更方便

  • 但如果数据库很大,事务处理又十分频繁,则增量转储方式更实用更有效

4.1.3 转储方法分类

4.2 登记日志文件

4.2.1 日志文件的格式和内容

日志文件(log)是用来记录事务对数据库的更新操作的文件,不同的数据库系统使用的日志文件格式并不完全一样,主要有两种:

  1. 以记录为单位的日志文件
  2. 以数据块为单位的日志文件

4.2.2 以记录为单位的日志文件

日志文件中需要登记的内容包括:

  • 各个事务的开始标记(BEGIN TRANSACTION)
  • 各个事务的结束标记(COMMIT或ROLLBACK)
  • 各个事务的所有更新操作

以上均作为日志文件中的一个日志记录 (log record)

每条日志记录的内容:

  • 事务标识(标明是哪个事务)
  • 操作类型(插入、删除或修改)
  • 操作对象(记录内部标识)
  • 更新前数据的旧值(对插入操作而言,此项为空值)
  • 更新后数据的新值(对删除操作而言, 此项为空值)

4.2.3 以数据块为单位的日志文件

每条日志记录的内容:

  • 事务标识(标明是那个事务)

  • 被更新的数据块

由于将更新前的整个块和更新后的整个块都放入日志文件中,操作类型和操作对象等信息就不必放入日志记录中了。

4.2.4 日志文件的作用

  1. 进行事务故障恢复和系统故障恢复
  2. 在动态转储方式中必须建立日志文件,后备副本和日志文件结合起来才能有效地恢复数据库
  3. 协助后备副本进行介质故障恢复

利用静态转储副本和日志文件进行恢复

  • 系统在Ta时刻停止运行事务,进行数据库转储
  • 在Tb时刻转储完毕,得到Tb时刻的数据库一致性副本
  • 系统运行到Tf时刻发生故障
  • 为恢复数据库,首先由DBA重装数据库后备副本,将数据库恢复至Tb时刻的状态重新运行自Tb~Tf时刻的所有更新事务,把数据库恢复到故障发生前的一致状态

4.2.5 登记日志文件

为保证数据库是可恢复的,登记日志文件时必须遵循两条原则:

  1. 登记的次序严格按并行事务执行的时间次序
  2. 必须先写日志文件,后写数据库
    • 写日志文件操作:把表示这个修改的日志记录写到日志文件
    • 写数据库操作:把对数据的修改写到数据库中

为什么要先写日志文件?

写数据库和写日志文件是两个不同的操作,在这两个操作之间可能发生故障。

如果先写了数据库修改,而在日志文件中没有登记下这个修改,则以后就无法恢复这个修改了。如果先写日志,但没有修改数据库,按日志文件恢复时只不过是多执行一次不必要的UNDO操作,并不会影响数据库的正确性。

5 恢复策略

5.1 事务故障的恢复

事务故障:事务在运行至正常终止点前被终止,由恢复子系统应利用日志文件撤消(UNDO)此事务已对数据库进行的修改。

事务故障的恢复由系统自动完成,对用户是透明的,不需要用户干预。

5.1.1 事务故障的恢复步骤

  1. 反向扫描文件日志(即从最后向前扫描日志文件),查找该事务的更新操作。
  2. 对该事务的更新操作执行逆操作。即将日志记录中“更新前的值” 写入数据库。

    • 插入操作, “更新前的值”为空,则相当于做删除操作

    • 删除操作,“更新后的值”为空,则相当于做插入操作

    • 若是修改操作,则相当于用修改前值代替修改后值

  3. 继续反向扫描日志文件,查找该事务的其他更新操作,并做同样处理。
  4. 如此处理下去,直至读到此事务的开始标记,事务故障恢复就完成了。

5.2 系统故障的恢复

系统故障造成数据库不一致状态的原因

  1. 未完成事务对数据库的更新已写入数据库—Undo 故障发生时未完成的事务
  2. 已提交事务对数据库的更新还留在缓冲区没来得及写入数据库—Redo 已完成的事务

系统故障的恢复是由系统在重新启动时自动完成的,不需要用户干预,恢复步骤是:

  1. 正向扫描日志文件(即从头扫描日志文件)
    • 重做(REDO)队列:在故障发生前已经提交的事务,这些事务既有BEGIN TRANSACTION记录,也有COMMIT记录
    • 撤销(Undo)队列:故障发生时尚未完成的事务,这些事务只有BEGIN TRANSACTION记录,无相应的COMMIT记录
  2. 对撤销(Undo)队列事务进行撤销(UNDO)处理
    • 反向扫描日志文件,对每个UNDO事务的更新操作执行逆操作
  3. 对重做(Redo)队列事务进行重做(REDO)处理
    • 正向扫描日志文件,对每个REDO事务重新执行登记的操作

5.3 介质故障的恢复

发生介质故障后,磁盘上的物理数据和日志文件被破坏,这是最严重的一种故障,恢复方法是重装数据库,然后重做已完成的事务。

  1. 装入最新的后备数据库副本(离故障发生时刻最近的转储副本),使数据库恢复到最近一次转储时的一致性状态。
    • 对于静态转储的数据库副本,装入后数据库即处于一致性状态
    • 对于动态转储的数据库副本,还须同时装入转储时刻的日志文件副本,利用与恢复系统故障的方法(即REDO+UNDO),才能将数据库恢复到一致性状态。
  2. 装入有关的日志文件副本(转储结束时刻的日志文件副本) ,重做已完成的事务。
    • 首先扫描日志文件,找出故障发生时已提交的事务的标识,将其记入重做队列。
    • 然后正向扫描日志文件,对重做队列中的所有事务进行重做处理。即将日志记录中“更新后的值”写入数据库。

介质故障的恢复需要DBA(数据库管理员)介入,DBA的工作:

  1. 重装最近转储的数据库副本和有关的各日志文件副本
  2. 执行系统提供的恢复命令

具体的恢复操作仍由DBMS完成。

6 具有检查点的恢复技术

一般来说使用日志技术进行数据库恢复时,需要检查所有日志记录,这样做有两个问题:

  1. 搜索整个日志将耗费大量的时间
  2. REDO处理:重新执行,浪费了大量时间

引入检查点(checkpoint)记录,增加一个重新开始文件,并让恢复子系统在登录日志文件期间动态地维护日志。

检查点记录的内容:

  1. 建立检查点时刻所有正在执行的事务清单
  2. 这些事务最近一个日志记录的地址

重新开始文件用来记录记录各个检查点记录在日志文件中的地址。

动态维护日志文件的方法是周期性地执行如下操作:建立检查点,保存数据库状态。具体步骤是:

  1. 将当前日志缓冲区中的所有日志记录写入磁盘的日志文件上
  2. 在日志文件中写入一个检查点记录
  3. 将当前数据缓冲区的所有数据记录写入磁盘的数据库中
  4. 把检查点记录在日志文件中的地址写入一个重新开始文件

恢复子系统可以定期或不定期地建立检查点,保存数据库状态,按照预定的一个时间间隔,如每隔一小时建立一个检查点,也可以按照某种规则,如日志文件已写满一半建立一个检查点。

使用检查点方法可以改善恢复效率,当事务T在一个检查点之前提交,T对数据库所做的修改已写入数据库,写入时间是在这个检查点建立之前或在这个检查点建立之时,在进行恢复处理时,没有必要对事务T执行REDO操作。

系统出现故障时,恢复子系统将根据事务的不同状态采取不同的恢复策略:

  • T1:在检查点之前提交

  • T2:在检查点之前开始执行,在检查点之后故障点之前提交

  • T3:在检查点之前开始执行,在故障点时还未完成

  • T4:在检查点之后开始执行,在故障点之前提交

  • T5:在检查点之后开始执行,在故障点时还未完成

恢复策略:

  • T3和T5在故障发生时还未完成,所以予以撤销

  • T2和T4在检查点之后才提交,它们对数据库所做的修改在故障发生时可能还在缓冲区中,尚未写入数据库,所以要REDO

  • T1在检查点之前已提交,所以不必执行REDO操作

6.1 利用检查点的恢复步骤

(1)从重新开始文件中找到最后一个检查点记录在日志文件中的地址,由该地址在日志文件中找到最后一个检查点记录。

(2)由该检查点记录得到检查点建立时刻所有正在执行的事务清单ACTIVE-LIST

这里建立两个事务队列:

  1. UNDO-LIST
  2. REDO-LIST

把ACTIVE-LIST暂时放入UNDO-LIST队列,REDO队列暂为空。

(3)从检查点开始正向扫描日志文件,直到日志文件结束。

  • 如有新开始的事务Ti,把Ti暂时放入UNDO-LIST队列

  • 如有提交的事务Tj,把Tj从UNDO-LIST队列移到REDO-LIST队列

(4)对UNDO-LIST中的每个事务执行UNDO操作,对REDO-LIST中的每个事务执行REDO操作。

7 数据库镜像

介质故障是对系统影响最为严重的一种故障,严重影响数据库的可用性,介质故障恢复比较费时。

为预防介质故障,DBA必须周期性地转储数据库,提高数据库可用性的解决方案:数据库镜像(Mirror)。

DBMS自动把整个数据库或其中的关键数据复制到另一个磁盘上,DBMS自动保证镜像数据与主数据库的一致性,每当主数据库更新时,DBMS自动把更新后的数据复制过去(如下图所示)。

出现介质故障时可由镜像磁盘继续提供使用 ,同时DBMS自动利用镜像磁盘数据进行数据库的恢复,不需要关闭系统和重装数据库副本(如下图所示)。

在没有出现故障时,数据库镜像还可以用于并发操作,即当一个用户对数据加排他锁修改数据时,其他用户据可以读镜像数据库上的数据,而不必等待该用户释放锁。

频繁地复制数据自然会降低系统运行效率,因此在实际应用中用户往往只选择对关键数据和日志文件镜像,而不是对整个数据库进行镜像。