PostgreSQLLa base de données la plus sophistiquée au monde.
Documentation PostgreSQL 13.17 » Annexes » Modules supplémentaires fournis » amcheck

F.2. amcheck

Le module amcheck fournit des fonctions vous permettant de vérifier la cohérence logique de la structure des relations. Si la structure semble valide, aucune erreur n'est levée.

Les fonctions vérifient diverses propriétés invariantes dans la structure de la représentation de certains relations. La justesse des fonctions permettant l'accès aux données durant les parcours d'index et d'autres opérations importantes reposent sur le fait que ces propriétés invariantes sont toujours vraies. Par exemple, certaines fonctions vérifient, entre autres choses, que toutes les pages d'index B-Tree ont leurs éléments dans un ordre « logique » (par exemple, pour des index B-Tree sur un type text, les lignes de l'index devraient être triées dans l'ordre alphabétique défini par la collation). Si, pour une raison ou une autre, cette propriété invariante spécifique n'est plus vérifiée, il faut s'attendre à ce que des recherches binaires sur la page affectée renseignent de manière erronée les parcours d'index, avec pour conséquence des résultats de requêtes SQL erronés.

La vérification est réalisée en utilisant les même procédures que celles utilisées par les parcours d'index eux-mêmes, qui peuvent très bien être du code utilisateur pour une classe d'opérateur. Par exemple, la vérification d'index B-Tree s'appuie sur les comparaisons faites avec une ou plusieurs routines pour la fonction de support 1. Voir Section 37.16.3 pour plus de détail sur les fonctions de support des classes d'opérateur.

Les fonctions du module amcheck ne peuvent être exécutées que par des super utilisateurs.

F.2.1. Fonctions

bt_index_check(index regclass, heapallindexed boolean) returns void

bt_index_check vérifie que sa cible, un index B-Tree, respecte un éventail de propriétés invariables. Exemple d'utilisation :

test=# SELECT bt_index_check(index => c.oid, heapallindexed => i.indisunique),
               c.relname,
               c.relpages
FROM pg_index i
JOIN pg_opclass op ON i.indclass[0] = op.oid
JOIN pg_am am ON op.opcmethod = am.oid
JOIN pg_class c ON i.indexrelid = c.oid
JOIN pg_namespace n ON c.relnamespace = n.oid
WHERE am.amname = 'btree' AND n.nspname = 'pg_catalog'
-- Ignore les tables temporaires, qui peuvent appartenir à d'autres sessions
AND c.relpersistence != 't'
-- La fonction peut renvoyer une erreur si cela est omis :
AND c.relkind = 'i' AND i.indisready AND i.indisvalid
ORDER BY c.relpages DESC LIMIT 10;

 bt_index_check |             relname             | relpages
----------------+---------------------------------+----------
                | pg_depend_reference_index       |       43
                | pg_depend_depender_index        |       40
                | pg_proc_proname_args_nsp_index  |       31
                | pg_description_o_c_o_index      |       21
                | pg_attribute_relid_attnam_index |       14
                | pg_proc_oid_index               |       10
                | pg_attribute_relid_attnum_index |        9
                | pg_amproc_fam_proc_index        |        5
                | pg_amop_opr_fam_index           |        5
                | pg_amop_fam_strat_index         |        5
(10 rows)

Cet exemple montre une session qui vérifie les 10 plus gros index du catalogue de la base de données « test ». La vérification de la présence des lignes de la table dans l'index est demandée pour le sous-ensemble des index uniques. Puisqu'aucune erreur n'est retournée, tous les index testés semblent être cohérents au niveau logique. Bien évidemment, cette requête pourrait être facilement modifiée pour appeler bt_index_check sur chacun des index présents dans la base de données pour lesquels la vérification est supportée.

bt_index_check acquiert un AccessShareLock sur l'index cible ainsi que sur la relation à laquelle il appartient. Ce niveau de verrouillage est le même que celui acquis sur les relations lors d'une simple requête SELECT. bt_index_check ne vérifie pas les propriétés invariantes qui englobent les relations enfant/parent, mais vérifiera la présence de toutes les lignes de la table et des lignes d'index à l'intérieur de l'index quand heapallindexed vaut true. Quand il faut lancer un test de recherche de corruption, de routine et pas trop lourd, sur un environnement de production, l'utilisation de bt_index_check offre généralement le meilleur compromis entre vérification minutieuse et impact limité sur les performances et la disponibilité de l'application.

bt_index_parent_check(index regclass, heapallindexed boolean, rootdescend boolean) returns void

bt_index_parent_check teste que sa cible, un index B-Tree, respecte un certain nombre de propriétés invariantes. En option, quand l'argument heapallindexed vaut true, la fonction vérifie la présence de toutes les lignes dans la table. Quand l'argument optionel rootdescend vaut true, la vérification recherche de nouveau les lignes au niveau des feuilles en réalisant une nouvelle recherche à partir de la racine pour chaque ligne. Les vérifications réalisables par bt_index_parent_check sont un sur-ensemble des vérifications réalisées par bt_index_check. On peut voir bt_index_parent_check comme une version plus minutieuse de bt_index_check : contrairement à bt_index_check, bt_index_parent_check vérifie également les propriétés invariantes qui englobent les relations parent/enfant, et la présence de tous les liens dans la structure de l'index. bt_index_parent_check respecte la convention habituelle qui consiste à retourner une erreur si une incohérence ou tout autre problème est détecté.

Un verrou de type ShareLock est requis sur l'index ciblé par bt_index_parent_check (un ShareLock est également acquis sur la relation associée). Ces verrous empêchent des modifications concurrentes par des commandes INSERT, UPDATE et DELETE. Les verrous empêchent également la relation associée d'être traitée de manière concurrente par VACUUM, ainsi que toute autre commande d'administration. Il est à noter que cette fonction ne conserve les verrous uniquement que durant son exécution et non pas durant l'intégralité de la transaction.

La vérification supplémentaire qu'opère bt_index_parent_check est plus apte à détecter différents cas pathologiques. Ces cas peuvent impliquer une classe d'opérateur B-Tree implémentée de manière incorrecte utilisée pour l'index vérifié, ou, hypothétiquement, des bugs non encore découverts dans le code de la méthode d'accès associée à cet index B-Tree. Il est à noter que bt_index_parent_check ne peut pas être utilisé lorsque le mode Hot Standby est activé (c'est-à-dire, sur un serveur secondaire disponible en lecture seule), contrairement à bt_index_check.

Astuce

bt_index_check et bt_index_parent_check journalisent toutes les deux des messages sur la vérification, au niveau de sévérité DEBUG1 et DEBUG2. Ces messages fournissent des informations détaillées sur la vérification exploitables par les développeurs PostgreSQL. Les utilisateurs avancés peuvent aussi trouver ces informations utiles, car elles fournissent du contexte additionnel si jamais la vérification détecte une incohérence. Exécuter

SET client_min_messages = DEBUG1;

dans une session interactive psql avant d'exécuter une requête de vérification, va afficher les messages sur sa progression avec un niveau de détail raisonnable.

F.2.2. Vérification optionnelle heapallindexed

Quand l'argument heapallindexed des fonctions de vérification est à true, une phase de vérification supplémentaire est opérée sur la table associée à l'index cible. Elle consiste en une opération CREATE INDEX « bidon » qui vérifie la présence de tous les nouveaux enregistrements hypothétiques d'index dans une structure de récapitulation temporaire et en mémoire (elle est construite au besoin durant la première phase de la vérification). Cette structure de récapitulation prend l'« empreinte digitale » de chaque enregistrement rencontré dans l'index cible. Le principe directeur derrière la vérification heapallindexed est qu'un nouvel index équivalent à l'index cible existant ne doit avoir que des entrées que l'on peut trouver dans la structure existante.

La phase heapallindexed supplémentaire a un coût significatif : typiquement, la vérification peut être plusieurs fois plus longue. Cependant il n'y a pas de changement quant aux verrous acquis au niveau de la table quand on opère une vérification heapallindexed.

La structure de récapitulation est limitée en taille par maintenance_work_mem. Pour s'assurer que la probabilité de rater une incohérence ne dépasse 2 % pour chaque enregistrement qui devrait être dans l'index, il faut environ 2 octets de mémoire par enregistrement. Quand moins de mémoire est disponible par enregistrement, la probabilité de manquer une incohérence augmente lentement. Cette approche limite significativement le coût de la vérification, tout en réduisant légèrement la probabilité de détecter un problème, particulièrement sur les installations où la vérification est traitée comme une opération de maintenance de routine. Tout enregistrement absent ou déformé a une nouvelle chance d'être détecté avec chaque lancement de la vérification.

F.2.3. Utiliser amcheck efficacement

amcheck peut être efficace pour détecter différents types de modes d'échec que les sommes de contrôle de page n'arriveront jamais à détecter. Cela inclut :

  • Les incohérences dans la structure causées par des implémentations incorrectes de classe d"opérateur.

    Cela inclut également des problèmes causés par le changement des règles de comparaison des collations du système d'exploitation. Les comparaisons des données d'un type ayant une collation comme text doivent être immuables (tout comme toutes les autres comparaisons utilisées pour les parcours d'index B-Tree doivent être immuables), ce qui implique que les règles de collation du système d'exploitation ne doivent jamais changer. Bien que cela soit rare, des mises à jour des règles des collations du système d'exploitation peuvent causer ces problèmes. Plus généralement, une incohérence dans l'ordre de collation entre un serveur primaire et son réplicat est impliqué, peut-être parce que la version majeure du système d'exploitation utilisée est incohérente. De telles incohérences ne surviendront généralement que sur des serveurs secondaires, et ne pourront par conséquent être détectées que là.

    Si un tel problème survient, il se peut que cela n'affecte pas chaque index qui utilise le tri d'une collation affectée, tout simplement car les valeurs indexées pourraient avoir le même ordre de tri absolu indépendamment des incohérences comportementales. Voir Section 23.1 et Section 23.2 pour plus de détails sur comment PostgreSQL utilise les locales et collations du système d'exploitation.

  • Les incohérences dans la structure entre les index et les tables indexées (lorsque la vérification heapallindexed est réalisée).

    Il n'y a pas de vérification avec la table initiale en temps normal. Les symptômes d'une corruption de la table peuvent être subtils.

  • La corruption causée par un hypothétique bug non encore découvert dans le code de la méthode d'accès dans PostgreSQL, dans le code effectuant le tri ou le code de gestion transactionnelle.

    La vérification automatique de l'intégrité structurelle des index joue un rôle dans les tests généraux des fonctionnalités de PostgreSQL, nouvelles ou proposées, qui pourraient possiblement permettre l'introduction d'incohérences logiques. La vérification de la structure de la table et des informations de visibilité et de statut des transactions associées joue un rôle similaire. Une stratégie de test évidente est d'appeler les fonctions d'amcheck de manière continue en même temps que les tests de régression standard sont lancés. Voir Section 32.1 pour plus de détails sur comment lancer les tests.

  • Les failles dans le système de fichiers ou dans le sous-système de stockage quand les sommes de contrôles ne sont pas activées.

    Il est à noter que amcheck n'examine une page que telle qu'elle se présente dans un tampon en mémoire partagée lors de la vérification, et qu'en accédant au bloc dans la mémoire partagée. Par conséquent, amcheck n'examine pas forcément les données lues depuis le système de fichiers au moment de la vérification. Notez que si les sommes de contrôles sont activées, amcheck peut lever une erreur de somme de contrôle incorrecte quand un bloc corrompu est lu vers un tampon.

  • Les corruptions causée par une RAM défaillante, et plus largement le sous-système mémoire et le système d'exploitation.

    PostgreSQL ne protège pas contre les erreurs mémoire corrigibles, et il est supposé que vous utilisez de la mémoire RAM de standard industriel ECC (Error Correcting Codes) ou avec une meilleure protection. Cependant, la mémoire ECC n'est typiquement immunisée que contre les erreurs d'un seul bit, et il ne faut pas partir du principe que ce type de mémoire fournit une protection absolue contre les défaillances provoquant une corruption de la mémoire.

    Quand la vérification heapallindexed est réalisée, il y a une chance fortement accrue de détecter des erreurs d'un bit car l'égalité binaire stricte est testée et les attributs indexés de la table sont testés.

De manière générale, amcheck ne peut que prouver la présence d'une corruption ; il ne peut pas en prouver l'absence.

F.2.4. Réparer une corruption

Aucune erreur concernant une corruption remontée par amcheck ne devrait être un faux positif. amcheck remonte des erreurs dans le cas où des conditions, par définition, ne devraient jamais arriver, et par conséquent une analyse minutieuse des erreurs remontées par amcheck est souvent nécessaire.

Il n'y a pas de méthode générale pour réparer les problèmes que amcheck détecte. Une explication de la cause principale menant à ce que la propriété invariante soit violée devrait être étudiée. pageinspect peut jouer un rôle utile dans le diagnostic de la corruption qu'amcheck détecte. Un REINDEX peut échouer à réparer la corruption.