PostgreSQLLa base de données la plus sophistiquée au monde.
Documentation PostgreSQL 14.1 » Administration du serveur » Sauvegardes et restaurations » Archivage continu et récupération d'un instantané (PITR)

26.3. Archivage continu et récupération d'un instantané (PITR)

PostgreSQL maintient en permanence des journaux de transactions(Write Ahead Log ou WAL) dans le sous-répertoire pg_wal/ du répertoire de données de l'instance. Ces journaux enregistrent chaque modification effectuée sur les fichiers de données des bases. Ils existent principalement pour se prémunir des suites d'un arrêt brutal : si le système s'arrête brutalement, la base de données peut être restaurée dans un état cohérent en « rejouant » les entrées des journaux enregistrées depuis le dernier checkpoint. Néanmoins, l'existence de ces journaux rend possible l'utilisation d'une troisième stratégie pour la sauvegarde des bases de données : la combinaison d'une sauvegarde de niveau système de fichiers avec la sauvegarde des journaux de transactions. Si la restauration est nécessaire, la sauvegarde des fichiers est restaurée, puis les journaux de transactions sauvegardés sont rejoués pour amener la sauvegarde jusqu'à la date actuelle. Cette approche est plus complexe à administrer que toutes les autres approches mais elle apporte des bénéfices importants :

  • Il n'est pas nécessaire de disposer d'une sauvegarde des fichiers parfaitement cohérente comme point de départ. Toute incohérence dans la sauvegarde est corrigée par la ré-exécution des journaux (ceci n'est pas significativement différent de ce qu'il se passe lors d'un rejeu après un arrêt brutal). La fonctionnalité d'image du système de fichiers n'est alors pas nécessaire, tar ou tout autre outil d'archivage est suffisant.

  • Puisqu'une longue séquence de journaux de transactions peut être assemblée pour être rejoués, une sauvegarde continue est obtenue en continuant simplement à archiver les journaux de transactions. C'est particulièrement intéressant pour les grosses bases de données dont une sauvegarde complète fréquente est difficilement réalisable.

  • Les entrées des journaux de transactions ne doivent pas obligatoirement être rejouées intégralement. La ré-exécution peut être stoppée en tout point, tout en garantissant une image cohérente de la base de données telle qu'elle était à ce moment-là. Ainsi, cette technique autorise la restauration d'un instantané (PITR) : il est possible de restaurer l'état de la base de données telle qu'elle était en tout point dans le temps depuis la dernière sauvegarde de base.

  • Si la série de journaux de transactions est fournie en continu à une autre machine chargée avec le même fichier de sauvegarde de base, on obtient un système « de reprise intermédiaire » (warm standby) : à tout moment, la deuxième machine peut être montée et disposer d'une copie quasi-complète de la base de données.

Note

pg_dump et pg_dumpall ne font pas de sauvegardes au niveau système de fichiers. Ce type de sauvegarde est qualifié de logique et ne contient pas suffisamment d'informations pour permettre le rejeu des journaux de transactions.

Tout comme la technique de sauvegarde standard du système de fichiers, cette méthode ne supporte que la restauration d'une instance de bases de données complet, pas d'un sous-ensemble. De plus, un espace d'archivage important est requis : la sauvegarde de la base peut être volumineuse et un système très utilisé engendre un trafic de journaux de transactions à archiver de plusieurs Mo. Malgré tout, c'est la technique de sauvegarde préférée dans de nombreuses situations où une haute fiabilité est requise.

Une restauration fructueuse à partir de l'archivage continu (aussi appelé « sauvegarde à chaud » par certains vendeurs de SGBD) nécessite une séquence ininterrompue de journaux de transactions archivés qui s'étend au moins jusqu'au point de départ de la sauvegarde. Pour commencer, il faut configurer et tester la procédure d'archivage des journaux de transactions avant d'effectuer la première sauvegarde de base. C'est pourquoi la suite du document commence par présenter les mécanismes d'archivage des journaux de transactions.

26.3.1. Configurer l'archivage des journaux de transactions

Au sens abstrait, un système PostgreSQL fonctionnel produit une séquence infinie d'enregistrements de journaux de transactions. Le système divise physiquement cette séquence en fichiers de segment WAL de 16 Mo chacun (en général, mais cette taille peut être modifiée lors de l'exécution d'initdb). Les fichiers segment reçoivent des noms numériques pour refléter leur position dans la séquence abstraite des journaux de transactions. Lorsque le système n'utilise pas l'archivage des journaux de transactions, il ne crée que quelques fichiers segments, qu'il « recycle » en renommant les fichiers devenus inutiles. Un fichier segment dont le contenu précède le dernier checkpoint est supposé inutile et peut être recyclé.

Lors de l'archivage des journaux de transactions, le contenu de chaque fichier segment doit être capturé dès qu'il est rempli pour sauvegarder les données ailleurs avant son recyclage. En fonction de l'application et du matériel disponible, « sauvegarder les données ailleurs » peut se faire de plusieurs façons : les fichiers segment peuvent être copiés dans un répertoire NFS monté sur une autre machine, être écrits sur une cartouche (après s'être assuré qu'il existe un moyen d'identifier le nom d'origine de chaque fichier) ou être groupés pour gravure sur un CD, ou toute autre chose. Pour fournir autant de flexibilité que possible à l'administrateur de la base de données, PostgreSQL essaie de ne faire aucune supposition sur la façon dont l'archivage est réalisé. À la place, PostgreSQL permet de préciser la commande shell à exécuter pour copier le fichier segment complet à l'endroit désiré. La commande peut être aussi simple qu'un cp ou impliquer un shell complexe -- c'est l'utilisateur qui décide.

Pour activer l'archivage des journaux de transaction, on positionne le paramètre de configuration wal_level à replica ou supérieur, archive_mode à on, et on précise la commande shell à utiliser dans le paramètre archive_command de la configuration. En fait, ces paramètres seront toujours placés dans le fichier postgresql.conf. Dans cette chaîne, un %p est remplacé par le chemin absolu de l'archive alors qu'un %f n'est remplacé que par le nom du fichier. (Le nom du chemin est relatif au répertoire de travail du serveur, c'est-à-dire le répertoire des données de l'instance.) %% est utilisé pour écrire le caractère % dans la commande. La commande la plus simple ressemble à :

archive_command = 'test ! -f /mnt/serveur/repertoire_archive/%f && cp %p /mnt/serveur/repertoire_archive/%f'  # Unix
  archive_command = 'copy "%p" "C:\\serveur\\repertoire_archive\\%f"'  # Windows

qui copie les segments WAL archivables dans le répertoire /mnt/serveur/repertoire_archive. (Ceci est un exemple, pas une recommandation, et peut ne pas fonctionner sur toutes les plateformes.) Après le remplacement des paramètres %p et %f, la commande réellement exécutée peut ressembler à :

test ! -f /mnt/serveur/repertoire_archive/00000001000000A900000065 && cp pg_wal/00000001000000A900000065 /mnt/serveur/repertoire_archive/00000001000000A900000065

Une commande similaire est produite pour chaque nouveau fichier à archiver.

La commande d'archivage est exécutée sous l'identité de l'utilisateur propriétaire du serveur PostgreSQL. La série de journaux de transactions en cours d'archivage contient absolument tout ce qui se trouve dans la base de données, il convient donc de s'assurer que les données archivées sont protégées des autres utilisateurs ; on peut, par exemple, archiver dans un répertoire sur lequel les droits de lecture ne sont positionnés ni pour le groupe ni pour le reste du monde.

Il est important que la commande d'archivage ne renvoie le code de sortie zéro que si, et seulement si, l'exécution a réussi. En obtenant un résultat zéro, PostgreSQL suppose que le fichier segment WAL a été archivé avec succès et qu'il peut le supprimer ou le recycler. Un statut différent de zéro indique à PostgreSQL que le fichier n'a pas été archivé ; il essaie alors périodiquement de l'archiver jusqu'à la réussite de l'opération.

Quand la commande d'archivage est arrêtée par un signal (autre que SIGTERM qui est utilisé lors d'un arrêt du serveur) ou une erreur du shell avec un code d'erreur supérieur à 125 (par exemple pour un programme introuvable), le processus d'archivage quitte et est relancé par postmaster. Dans de tels cas, l'échec n'est pas indiqué par pg_stat_archiver.

En général, la commande d'archivage doit être conçue pour refuser d'écraser tout fichier archive déjà existant. C'est une fonctionnalité de sécurité importante pour préserver l'intégrité de l'archive dans le cas d'une erreur de l'administrateur (comme l'envoi de la sortie de deux serveurs différents dans le même répertoire d'archivage).

Il est conseillé de tester la commande d'archivage proposée pour s'assurer, qu'en effet, elle n'écrase pas un fichier existant, et qu'elle renvoie un statut différent de zéro dans ce cas. La commande pour Unix en exemple ci-dessus le garantit en incluant une étape test séparée. Sur certaines plateformes Unix, la commande cp dispose d'une option, comme -i pouvant être utilisé pour faire la même chose, mais en moins verbeux. Cependant, vous ne devriez pas vous baser là-dessus sans vous assurer que le code de sortie renvoyé est le bon. (En particulier, la commande cp de GNU renvoie un code zéro quand -i est utilisé et que le fichier cible existe déjà, ce qui n'est pas le comportement désiré.)

Lors de la conception de la configuration d'archivage, il faut considérer ce qui peut se produire si la commande d'archivage échoue de façon répétée, que ce soit parce qu'une intervention de l'opérateur s'avère nécessaire ou par manque d'espace dans le répertoire d'archivage. Ceci peut arriver, par exemple, lors de l'écriture sur une cartouche sans changeur automatique ; quand la cartouche est pleine, rien ne peut être archivé tant que la cassette n'est pas changée. Toute erreur ou requête à un opérateur humain doit être rapportée de façon appropriée pour que la situation puisse être résolue rapidement. Le répertoire pg_wal/ continue à se remplir de fichiers de segment WAL jusqu'à la résolution de la situation.(Si le système de fichiers contenant pg_wal/ se remplit, PostgreSQL s'arrête en mode PANIC. Aucune transaction validée n'est perdue mais la base de données est inaccessible tant que de l'espace n'a pas été libéré.)

La vitesse de la commande d'archivage n'est pas importante, tant qu'elle suit le rythme de génération des journaux de transactions du serveur. Les opérations normales continuent même si le processus d'archivage est un peu plus lent. Si l'archivage est significativement plus lent, alors la quantité de données qui peut être perdue croît. Cela signifie aussi que le répertoire pg_wal/ contient un grand nombre de fichiers segment non archivés, qui peuvent finir par remplir l'espace disque disponible. Il est conseillé de surveiller le processus d'archivage pour s'assurer que tout fonctionne normalement.

Lors de l'écriture de la commande d'archivage, il faut garder à l'esprit que les noms de fichier à archiver peuvent contenir jusqu'à 64 caractères et être composés de toute combinaison de lettres ASCII, de chiffres et de points. Il n'est pas nécessaire de conserver le chemin relatif original (%p) mais il est nécessaire de se rappeler du nom du fichier(%f).

Bien que l'archivage des journaux de transactions autorise à restaurer toute modification réalisée sur les données de la base, il ne restaure pas les modifications effectuées sur les fichiers de configuration (c'est-à-dire postgresql.conf, pg_hba.conf et pg_ident.conf) car ceux-ci sont édités manuellement et non au travers d'opérations SQL. Il est souhaitable de conserver les fichiers de configuration à un endroit où ils sont sauvegardés par les procédures standard de sauvegarde du système de fichiers. Voir la Section 20.2 pour savoir comment modifier l'emplacement des fichiers de configuration.

La commande d'archivage n'est appelée que sur les fichiers segments WAL complets. Du coup, si le serveur engendre peu de trafic dans les journaux de transactions (ou qu'il y a des périodes de calme où le trafic est léger), il peut y avoir un long délai entre la fin d'une transaction et son enregistrement garanti dans le stockage d'archive. Pour placer une limite sur l'ancienneté des données archivées, il faut configurer archive_timeout, ce qui permet de forcer le serveur à changer de fichier segment WAL passé ce délai. Les fichiers archivés lors d'un tel forçage ont toujours la même taille que les fichiers complets. Il est donc déconseillé de configurer un délai archive_timeout trop court -- cela fait grossir anormalement le stockage. Une minute pour archive_timeout est généralement raisonnable.

De plus, le changement d'un segment peut être forcé manuellement avec pg_switch_wal. Cela permet de s'assurer qu'une transaction tout juste terminée est archivée aussi vite que possible. D'autres fonctions utilitaires relatives à la gestion des journaux de transactions sont disponibles dans Tableau 9.87.

Quand wal_level est configuré à la valeur minimal, certaines commandes SQL sont optimisées pour éviter la journalisation des transactions, de la façon décrite dans Section 14.4.7. Si l'archivage ou la réplication en flux sont activés lors de l'exécution d'une de ces instructions, les journaux de transaction ne contiennent pas suffisamment d'informations pour une restauration via les archives. (La restauration après un arrêt brutal n'est pas affectée.) Pour cette raison, wal_level ne peut être modifié qu'au lancement du serveur. Néanmoins, archive_command peut être modifié par rechargement du fichier de configuration. Pour arrêter temporairement l'archivage, on peut placer une chaîne vide ('') dans archive_command. Les journaux de transaction sont alors accumulés dans pg_wal/ jusqu'au rétablissement d'un paramètre archive_command fonctionnel.

26.3.2. Réaliser une sauvegarde de base

La manière la plus simple pour effectuer une sauvegarde revient à utiliser l'outil pg_basebackup. Il peut créer une sauvegarde de base sous la forme soit de fichiers standards, soit d'une archive tar. Pour les cas plus complexes, il est possible de réaliser une sauvegarde de base en utilisant l'API bas niveau (voir Section 26.3.3).

La durée d'une sauvegarde de base n'est pas toujours un critère déterminant. Toutefois, si vous exploitez votre serveur avec l'option full_page_writes désactivée, vous constaterez une baisse des performances lorsque la sauvegarde est effectuée car l'option full_page_writes est activée de force pendant les opérations de sauvegarde.

Pour utiliser une sauvegarde, vous devez conserver tous les fichiers segments WAL générés pendant et après la sauvegarde des fichiers. Pour vous aider dans cette tâche, le processus de sauvegarde crée un fichier historique de sauvegarde qui est immédiatement enregistré dans la zone d'archivage des journaux de transactions. Le nom de ce fichier reprend le nom du premier fichier segment WAL que vous devez conserver. Par exemple, si le premier fichier segment WAL à garder est 0000000100001234000055CD, alors le fichier historique de sauvegarde sera nommé de la manière suivante 0000000100001234000055CD.007C9330.backup. (La seconde partie du nom de fichier indique la position exacte à l'intérieur du fichier segment WAL. Cette information peut être ignorée.) Une fois que vous avez archivé avec précaution la sauvegarde de base et les fichiers segments WAL générés pendant la sauvegarde (tel qu'indiqué par le fichier historique de sauvegarde), tous les fichiers segments WAL antérieurs ne sont plus nécessaires pour restaurer votre sauvegarde de base. Ils peuvent être supprimés. Toutefois, il est conseillé de conserver plusieurs groupes de sauvegardes pour être absolument certain de récupérer vos données.

Le fichier historique de sauvegarde est un simple fichier texte. Il contient le label que vous avez attribué à l'opération pg_basebackup, ainsi que les dates de début, de fin et la liste des fichiers segments WAL de la sauvegarde. Si vous avez utilisé le label pour identifier le fichier de sauvegarde associé, alors le fichier historique vous permet de savoir quel fichier de sauvegarde vous devez utiliser pour la restauration.

Puisque vous devez archiver tous les fichiers segments WAL depuis votre dernière sauvegarde de base, l'intervalle entre deux sauvegardes de base doit être déterminé en fonction de l'espace de stockage que vous avez alloué pour l'archivage des fichiers segments WAL. Vous devez également prendre en compte le temps de restauration (le système devra rejouer tous les fichiers segments WAL, cela prendra un certain temps si la sauvegarde de base est ancienne).

26.3.3. Effectuer une sauvegarde de base avec l'API bas niveau

La procédure pour créer une sauvegarde de base en utilisant l'API bas niveau contient plus d'étapes que la méthode pg_basebackup mais elle est relativement simple. Il est très important que ces étapes soient exécutées séquentiellement et de vérifier que chaque étape s'est déroulée correctement avant de passer à la suivante.

Les sauvegardes bas niveau peuvent être réalisées de façon exclusive ou non-exclusive. La méthode non-exclusive est recommandée alors que l'exclusive est obsolète et sera prochainement supprimée.

26.3.3.1. Créer une sauvegarde non-exclusive bas niveau

Une sauvegarde non-exclusive bas niveau permet à d'autres sauvegardes concurrentes d'être lancées (à la fois celles utilisant la même API et celles utilisant pg_basebackup).

  1. S'assurer que l'archivage des journaux de transactions est activé et fonctionnel.

  2. Se connecter au serveur (peu importe la base) en tant qu'utilisateur ayant les droits d'exécuter la fonction pg_start_backup(donc soit un super-utilisateur, soit un utilisateur ayant gagné le droit EXECUTE sur cette fonction) et lancer la commande :

    SELECT pg_start_backup('label', false, false);

    label est une chaîne utilisée pour identifier de façon unique l'opération de sauvegarde. La connexion appelant pg_start_backup doit être maintenue jusqu'à la fin de la sauvegarde. Dans le cas contraire, la sauvegarde sera automatiquement avortée.

    Par défaut, pg_start_backup peut prendre beaucoup de temps pour arriver à son terme. Ceci est dû au fait qu'il réalise un checkpoint, et que les entrées/sorties pour l'établissement de ce checkpoint seront réparties sur une grande durée, par défaut la moitié de l'intervalle entre deux checkpoints automatiques (voir le paramètre de configuration checkpoint_completion_target). Habituellement, ce comportement est appréciable, car il minimise l'impact sur le traitement des requêtes. Pour commencer la sauvegarde dès que possible, changer le second paramètre à true, ce qui exécutera un checkpoint immédiat en utilisant autant d'entrées/sorties disque que disponible.

    Le troisième paramètre étant false, il signifie que pg_start_backup initiera une sauvegarde de base non-exclusive.

  3. Effectuer la sauvegarde à l'aide de tout outil de sauvegarde du système de fichiers, tel tar ou cpio (mais ni pg_dump ni pg_dumpall). Il n'est ni nécessaire ni désirable de stopper les opérations normales de la base de données pour cela. Voir la section Section 26.3.3.3 pour les considérations à prendre en compte durant cette sauvegarde.

  4. Dans la même connexion que précédemment, lancer la commande :

    SELECT * FROM pg_stop_backup(false, true);

    Cela met fin au processus de sauvegarde. Sur un serveur primaire, cela réalise aussi une bascule automatique au prochain segment de journal de transactions. Sur un serveur secondaire, il n'est pas possible de basculer automatiquement les segments des journaux de transactions, donc vous pourriez vouloir utiliser pg_switch_wal sur le primaire pour réaliser une bascule manuelle. Cette bascule est nécessaire pour permettre au dernier fichier de segment WAL écrit pendant la sauvegarde d'être immédiatement archivable.

    La fonction pg_stop_backup retournera une ligne avec trois valeurs. Le second de ces champs devra être écrit dans un fichier nommé backup_label dans le répertoire racine de la sauvegarde. Le troisième champ devra être écrit dans un fichier nommé tablespace_map sauf si le champ est vide. Ces fichiers sont vitaux pour le fonctionnement de la sauvegarde et doivent être écrits octet par octet sans modification, ce qui nécessite de les ouvrir en mode binaire.

  5. Une fois que les fichiers segment WAL utilisés lors de la sauvegarde sont archivés, c'est terminé. Le fichier identifié par le résultat de pg_stop_backup est le dernier segment nécessaire pour produire un jeu complet de fichiers de sauvegarde. Sur un serveur primaire, si archive_mode est activé et que le paramètre wait_for_archive est activé (valeur true), pg_stop_backup ne rend pas la main avant que le dernier segment n'ait été archivé. Sur un serveur secondaire, le paramètre archive_mode doit valoir always pour que la fonction pg_stop_backup soit en attente. L'archivage de ces fichiers est automatique puisque archive_command est déjà configuré. Dans la plupart des cas, c'est rapide, mais il est conseillé de surveiller le système d'archivage pour s'assurer qu'il n'y a pas de retard. Si le processus d'archivage a pris du retard en raison d'échecs de la commande d'archivage, il continuera d'essayer jusqu'à ce que l'archivage réussisse et que la sauvegarde soit complète. Pour positionner une limite au temps d'exécution de pg_stop_backup, il faut positionner statement_timeout à une valeur appropriée, mais il faut noter que si pg_stop_backup est interrompu à cause de cette configuration, la sauvegarde peut ne pas être correcte.

    Si le processus de sauvegarde surveille et s'assure que tous les fichiers segments WAL nécessaires à la sauvegarde soient archivés avec succès, le paramètre wait_for_archive (positionné à true par défaut) peut être positionné à false pour que pg_stop_backup renvoie la main dès que l'enregistrement de fin de sauvegarde est écrit dans le journal de transaction en cours. Par défaut, pg_stop_backup attendra jusqu'à ce que tous les journaux de transactions aient été archivés, ce qui peut prendre un certain temps. Cette option doit être utilisée avec précaution : si l'archivage des journaux de transactions n'est pas supervisé correctement, alors la sauvegarde pourrait ne pas inclure tous les fichiers segments WAL, et serait donc incomplète et impossible à restaurer.

26.3.3.2. Créer une sauvegarde exclusive de bas niveau

Note

La méthode de sauvegarde exclusive est obsolète et devrait être évitée. Avant PostgreSQL 9.6, il s'agissait de la seule méthode bas-niveau disponible, mais il est désormais recommandé que tous les utilisateurs mettent à jour leurs scripts pour utiliser la sauvegarde non-exclusive.

Le procédé pour une sauvegarde exclusive est majoritairement le même que pour la non-exclusive, mais il diffère en quelques étapes clés. Ce type de sauvegarde peut seulement être réalisé sur un serveur primaire et ne permet pas des sauvegardes concurrentes. De plus, le fichier backup_label créé sur un serveur primaire peut empêcher le redémarrage de celui-ci en cas de crash. D'un autre côté, la suppression à tord de ce fichier d'une sauvegarde ou d'un serveur secondaire est une erreur fréquente qui peut mener à de sérieuses corruptions de données. S'il était nécessaire d'utiliser cette méthode, les étapes suivantes doivent être respectées.

  1. S'assurer que l'archivage des journaux de transactions est activé et fonctionnel.

  2. Se connecter au serveur (peu importe la base) en tant qu'utilisateur ayant les droits d'exécuter la fonction pg_start_backup(donc soit un super-utilisateur, soit un utilisateur ayant gagné le droit EXECUTE sur cette fonction) et lancer la commande :

    SELECT pg_start_backup('label');

    label est une chaîne utilisée pour identifier de façon unique l'opération de sauvegarde. pg_start_backup crée un fichier de label de sauvegarde nommé backup_label dans le répertoire de l'instance. Ce fichier contient les informations de la sauvegarde, ceci incluant le moment du démarrage de la sauvegarde et le label. La fonction crée aussi un fichier de recensement des tablespaces, appelé tablespace_map, dans le répertoire principal des données avec des informations sur les liens symboliques des tablespaces contenus dans pg_tblspc si au moins un lien est présent. Ces fichiers sont critiques à l'intégrité de la sauvegarde, vous devez vous assurer de leur restauration.

    Par défaut, pg_start_backup peut prendre beaucoup de temps pour arriver à son terme. Ceci est dû au fait qu'il réalise un checkpoint, et que les entrées/sorties pour la réalisation de ce checkpoint seront réparties sur une grande durée, par défaut la moitié de l'intervalle entre deux checkpoints automatiques(voir le paramètre de configuration checkpoint_completion_target). Habituellement, ce comportement est intéressant car il minimise l'impact du traitement des requêtes. Pour commencer la sauvegarde aussi rapidement que possible, utiliser :

    SELECT pg_start_backup('label', true);

    Cela force l'exécution du checkpoint aussi rapidement que possible.

  3. Effectuer la sauvegarde à l'aide de tout outil de sauvegarde du système de fichiers, tel tar ou cpio (mais ni pg_dump ni pg_dumpall). Il n'est ni nécessaire ni désirable de stopper les opérations normales de la base de données pour cela. Voir la section Section 26.3.3.3 pour les considérations à prendre en compte durant cette sauvegarde.

    Comme il est déjà indiqué ci-dessus, si le serveur s'arrête brutalement lors de la sauvegarde, il pourrait ne pas être possible de recommencer tant que le fichier backup_label ne soit manuellement supprimée du répertoire PGDATA. Il est très important de ne jamais supprimer le fichier backup_label lors de la restauration d'une sauvegarde afin d'éviter toute corruption. La confusion concernant les cas d'usage où il est approprié de supprimer ce fichier est une cause fréquente de corruption de données lors de l'utilisation de cette méthode de sauvegarde ; il faut s'assurer de ne supprimer ce fichier que sur un serveur primaire fonctionnel et jamais lors de la construction d'un serveur secondaire ou lors de la restauration d'une sauvegarde, même lors de la construction d'un serveur secondaire qui sera par la suite promu comme nouveau serveur primaire.

  4. Se connecter à nouveau à la base de données en tant qu'utilisateur ayant le droit d'exécuter la fonction pg_stop_backup (donc soit un super-utilisateur, ou soit un utilisateur ayant gagné le droit EXECUTE sur cette fonction) et lancer la commande :

    SELECT pg_stop_backup();

    . Cette fonction met fin au processus de sauvegarde et réalise une bascule automatique vers le prochain fichier segment WAL. Cette bascule est nécessaire pour permettre au dernier fichier segment WAL écrit pendant la sauvegarde d'être immédiatement archivable.

  5. Une fois que les fichiers segments WAL utilisés lors de la sauvegarde sont archivés, c'est terminé. Le fichier identifié par le résultat de pg_stop_backup est le dernier segment nécessaire pour produire un jeu complet de fichiers de sauvegarde. Si archive_mode est activé, pg_stop_backup ne rend pas la main avant que le dernier segment n'ait été archivé. L'archivage de ces fichiers est automatique puisque archive_command est configuré. Dans la plupart des cas, c'est rapide, mais il est conseillé de surveiller le système d'archivage pour s'assurer qu'il n'y a pas de retard. Si le processus d'archivage a pris du retard en raison d'échecs de la commande d'archivage, il continuera d'essayer jusqu'à ce que l'archive réussisse et que la sauvegarde soit complète.

    Lors de l'utilisation de la méthode de sauvegarde exclusive, il est absolument impératif de s'assurer que pg_stop_backup se termine correctement à la fin de la sauvegarde. Même si la sauvegarde elle-même échoue, par exemple à cause d'un manque d'espace disque, ne pas exécuter pg_stop_backup laisse le serveur en mode sauvegarde indéfiniment, empêchant la réalisation des futures sauvegardes et augmentant le risque que le serveur ne puisse pas redémarrer lorsque le fichier backup_label existe.

26.3.3.3. Sauvegarder le répertoire de données

Certains outils de sauvegarde de fichiers émettent des messages d'avertissement ou d'erreur si les fichiers qu'ils essaient de copier sont modifiés au cours de la copie. Cette situation, normale lors de la sauvegarde d'une base active, ne doit pas être considérée comme une erreur ; il suffit de s'assurer que ces messages puissent être distingués des autres messages. Certaines versions de rsync, par exemple, renvoient un code de sortie distinct en cas de « disparition de fichiers source ». Il est possible d'écrire un script qui considère ce code de sortie comme normal.

De plus, certaines versions de GNU tar retournent un code d'erreur qu'on peut confondre avec une erreur fatale si le fichier a été tronqué pendant sa copie par tar. Heureusement, les versions 1.16 et suivantes de GNU tar retournent 1 si le fichier a été modifié pendant la sauvegarde et 2 pour les autres erreurs. Avec GNU tar version 1.23 et les versions ultérieures, vous pouvez utiliser les options d'avertissement --warning=no-file-changed --warning=no-file-removed pour cacher les messages d'avertissement en relation.

La sauvegarde doit inclure tous les fichiers du répertoire dde l'instance de bases de données(/usr/local/pgsql/data, par exemple). Si des tablespaces qui ne se trouvent pas dans ce répertoire sont utilisés, il ne faut pas oublier de les inclure (et s'assurer également que la sauvegarde archive les liens symboliques comme des liens, sans quoi la restauration va corrompre les tablespaces).

Néanmoins, les fichiers du sous-répertoire pg_wal/, contenu dans le répertoire de l'instance, devraient être omis. Ce léger ajustement permet de réduire le risque d'erreurs lors de la restauration. C'est facile à réaliser si pg_wal/ est un lien symbolique vers quelque endroit extérieur au répertoire de l'instance, ce qui est une configuration courante pour des raisons de performance. Il peut être aussi intéressant d'exclure postmaster.pid et postmaster.opts, qui enregistrent des informations sur le postmaster en cours d'exécution, mais pas sur le postmaster qui va utiliser cette sauvegarde. De plus, ces fichiers peuvent poser problème à pg_ctl.

C'est souvent une bonne idée d'omettre de la sauvegarde les fichiers provenant du répertoire pg_replslot/ de l'instance, pour que les slots de réplication existant sur le primaire ne deviennent pas partie intégrante de la sauvegarde. Dans le cas contraire, l'utilisation de la sauvegarde pour créer un secondaire pourrait résulter en une rétention infinie des journaux de transactions sur le secondaire et aussi de la fragmentation sur le primaire si les messages de retour d'un secondaire en Hot Standby sont activés, parce que les clients qui utilisent ces slots de réplication se connecteront toujours et mettront à jour les slots sur le primaire et non pas sur le secondaire. Même si la sauvegarde a pour but d'être utilisée pour la création d'un nouveau primaire, copier les slots de réplication n'est pas un comportement attendu car il n'a pas de raison d'être, le contenu de ces slots sera très probablement obsolète au moment où le nouveau primaire sera en ligne.

Le contenu des répertoires pg_dynshmem/, pg_notify/, pg_serial/, pg_snapshots/, pg_stat_tmp/ et pg_subtrans/ (mais pas les répertoires eux-même) peut être exclu de la sauvegarde puisqu'il sera réinitialisé au démarrage de postmaster. Si stats_temp_directory est positionné et qu'il pointe sur un sous-répertoire du répertoire de données alors le contenu de ce répertoire peut également être exclu.

N'importe quel fichier ou répertoire commençant par pgsql_tmp peut être exclu de la sauvegarde. Ces fichiers sont supprimés au démarrage de postmaster et les répertoires seront recréés si nécessaire.

Les fichiers pg_internal.init peuvent être omis de la sauvegarde quand un fichier de ce nom est trouvé. Ces fichiers contiennent les données du cache des relations qui est toujours reconstruit lors de la restauration.

Le fichier de label de la sauvegarde inclut la chaîne de label passée à pg_start_backup, l'heure à laquelle pg_start_backup a été exécutée et le nom du fichier segment WAL initial. En cas de confusion, il est ainsi possible de regarder dans ce fichier de label et de déterminer avec précision de quelle session de sauvegarde il provient. Le fichier des tablespaces inclut les noms des liens symboliques s'ils existent dans le répertoire pg_tblspc/ et le chemin complet de chaque lien symbolique. Néanmoins, ces fichiers n'existent pas uniquement pour vous informer. Leurs présences et contenus sont critiques au bon déroulement du processus de restauration.

Il est aussi possible de faire une sauvegarde alors que le serveur est arrêté. Dans ce cas, les fonctions pg_start_backup et pg_stop_backup ne peuvent pas être utilisées. L'utilisateur doit alors se débrouiller pour identifier les fichiers de sauvegarde et déterminer jusqu'où remonter avec les fichiers segments WAL associés. Il est généralement préférable de suivre la procédure d'archivage continu décrite ci-dessus.

26.3.4. Restauration à partir d'un archivage continu

Le pire est arrivé et il faut maintenant repartir d'une sauvegarde. Voici la procédure :

  1. Arrêter le serveur s'il est en cours d'exécution.

  2. Si la place nécessaire est disponible, copier le répertoire complet de données de l'instance et tous les tablespaces dans un emplacement temporaire en prévision d'un éventuel besoin ultérieur. Cette précaution nécessite qu'un espace suffisant sur le système soit disponible pour contenir deux copies de la base de données existante. S'il n'y a pas assez de place disponible, il faut au minimum copier le contenu du sous-répertoire pg_wal du répertoire des données de l'instance car il peut contenir des journaux qui n'ont pas été archivés avant l'arrêt du serveur.

  3. Effacer tous les fichiers et sous-répertoires existant sous le répertoire des données de l'instance et sous les répertoires racines des tablespaces.

  4. Restaurer les fichiers de la base de données à partir de la sauvegarde des fichiers. Il faut veiller à ce qu'ils soient restaurés avec le bon propriétaire (l'utilisateur système de la base de données, et non pas root !) et avec les bons droits. Si des tablespaces sont utilisés, il faut s'assurer que les liens symboliques dans pg_tblspc/ ont été correctement restaurés.

  5. Supprimer tout fichier présent dans pg_wal/ ; ils proviennent de la sauvegarde et sont du coup probablement obsolètes. Si pg_wal/ n'a pas été archivé, il suffit de recréer ce répertoire en faisant attention à le créer en tant que lien symbolique, si c'était le cas auparavant.

  6. Si des fichiers segments WAL non archivés ont été sauvegardés dans l'étape 2, les copier dans pg_wal/. Il est préférable de les copier plutôt que de les déplacer afin qu'une version non modifiée de ces fichiers soit toujours disponible si un problème survient et qu'il faille recommencer.

  7. Configurer les commandes de restauration dans postgresql.conf(voir Section 20.5.4) et créer un fichier recovery.signal dans le répertoire des données de l'instance. De plus, il peut être judicieux de modifier temporairement le fichier pg_hba.conf pour empêcher les utilisateurs ordinaires de se connecter tant qu'il n'est pas certain que la restauration a réussi.

  8. Démarrer le serveur. Le serveur se trouve alors en mode restauration et commence la lecture des fichiers segments WAL archivés dont il a besoin. Si la restauration se termine sur une erreur externe, le serveur peut tout simplement être relancé. Il continue alors la restauration. À la fin du processus de restauration, le serveur supprime le fichier recovery.signal(pour éviter de retourner accidentellement en mode de restauration), puis passe en mode de fonctionnement normal.

  9. Inspecter le contenu de la base de données pour s'assurer que la restauration a bien fonctionné. Dans le cas contraire, retourner à l'étape 1. Si tout va bien, le fichier pg_hba.conf peut être restauré pour autoriser les utilisateurs à se reconnecter.

Le point clé de tout ceci est la configuration de la restauration qui décrit comment et jusqu'où restaurer. La seule chose qu'il faut absolument préciser dans postgresql.conf, c'est la valeur du paramètre restore_command qui indique à PostgreSQL comment récupérer les fichiers segments WAL archivés. À l'instar d'archive_command, c'est une chaîne de commande shell. Elle peut contenir %f, qui est remplacé par le nom du journal souhaité, et %p, qui est remplacé par le chemin du répertoire où copier le journal.(Le nom du chemin est relatif au répertoire de travail du serveur, c'est-à-dire le répertoire des données du cluster.) Pour écrire le caractère % dans la commande, on utilise %%. La commande la plus simple ressemble à :

restore_command = 'cp /mnt/serveur/répertoire_archive/%f %p'

qui copie les fichiers segments WAL précédemment archivés à partir du répertoire /mnt/serveur/répertoire_archive. Il est toujours possible d'utiliser une commande plus compliquée, voire même un script shell qui demande à l'utilisateur de monter la cassette appropriée.

Il est important que la commande renvoie un code de sortie différent de zéro en cas d'échec. Des fichiers absents de l'archive seront demandés à la commande ; elle doit renvoyer autre chose que zéro dans ce cas. Ce n'est pas une condition d'erreur. Une exception est possible si la commande a été terminée par un signal (autre que SIGTERM, qui est utilisé pour l'arrêt du serveur) ou par une erreur shell (comme une commande introuvable). Dans ces cas, la restauration va s'arrêter et le serveur ne démarrera plus.

Tous les fichiers demandés ne seront pas des fichiers segments WAL ; vous pouvez aussi vous attendre à des demandes de fichiers suffixés par .history. Il faut également garder à l'esprit que le nom de base du chemin %p diffère de %f ; ils ne sont pas interchangeables.

Les segments WAL qui ne se trouvent pas dans l'archive sont recherchés dans pg_wal/ ; cela autorise l'utilisation de segments récents non archivés. Néanmoins, les segments disponibles dans l'archive sont utilisés de préférence aux fichiers contenus dans pg_wal/.

Normalement, la récupération traite tous les segments WAL disponibles, restaurant du coup la base de données à l'instant présent (ou aussi proche que possible, en fonction des fichiers segments WAL disponibles). Une récupération normale se finit avec un message « fichier non trouvé », le texte exact du message d'erreur dépendant du choix de restore_command. Un message d'erreur au début de la restauration peut également apparaître concernant un fichier nommé dont le nom ressemble à 00000001.history. Ceci est aussi normal et n'indique pas un problème dans les situations de restauration standards. Voir Section 26.3.5 pour plus d'informations.

Pour restaurer jusqu'à un moment précis (avant que le DBA junior n'ait supprimé la table principale par exemple), il suffit d'indiquer le point d'arrêt requis. Le point d'arrêt, aussi nommé « cible de récupération » (« recovery target » dans la version originale) , peut être précisé par une combinaison de date et d'heure, par un point de restauration nommé ou par un identifiant de transaction. Actuellement, seules les options date/heure et point de restauration nommé sont vraiment utilisables car il n'existe pas d'outils permettant d'identifier avec précision l'identifiant de transaction à utiliser.

Note

Le point d'arrêt doit être postérieur à la fin de la sauvegarde de la base (le moment où pg_stop_backup se termine). Une sauvegarde ne peut pas être utilisée pour repartir d'un instant où elle était encore en cours (pour ce faire, il faut récupérer la sauvegarde précédente et rejouer à partir de là).

Si la restauration fait face à une corruption des données des journaux de transactions, le rejeu s'interrompt juste avant la corruption détectée et le serveur ne démarre pas. Dans un tel cas, le processus de restauration peut alors être ré-exécuté à partir du début en précisant une « cible de restauration » antérieure au point de corruption pour permettre à cette dernière de se terminer correctement. Si la restauration échoue pour une raison externe (arrêt brutal du système ou archive devenue inaccessible), la restauration peut être simplement relancée. Elle redémarre alors quasiment là où elle a échoué. Le redémarrage de la restauration fonctionne comme les checkpoints du déroulement normal : le serveur force une écriture régulière de son état sur les disques et actualise alors le fichier pg_control pour indiquer que les données déjà traitées des journaux de transactions n'ont plus à être parcourues.

26.3.5. Lignes temporelles (Timelines)

La possibilité de restaurer la base de données à partir d'un instantané crée une complexité digne des histoires de science-fiction traitant du voyage dans le temps et des univers parallèles.

Par exemple, dans l'historique original de la base de données, supposez qu'une table critique ait été supprimée à 17h15 mardi soir, mais que personne n'ait réalisé cette erreur avant mercredi midi. Sans stress, la sauvegarde est récupérée et restaurée dans l'état où elle se trouvait à 17h14 mardi soir. La base est fonctionnelle. Dans cette histoire de l'univers de la base de données, la table n'a jamais été supprimée. Or, l'utilisateur réalise peu après que ce n'était pas une si grande idée et veut revenir à un quelconque moment du mercredi matin. Cela n'est pas possible, si, alors que la base de données est de nouveau fonctionnelle, elle réutilise certaines séquences de fichiers segments WAL qui permettent de retourner à ce point. Il est donc nécessaire de pouvoir distinguer les séries d'enregistrements des journaux de transactions engendrées après la restauration de l'instantané de celles issues de l'historique originel de la base.

Pour gérer ces difficultés, PostgreSQL inclut la notion de lignes temporelles (ou timelines). Quand une récupération d'archive est terminée, une nouvelle ligne temporelle est créée pour identifier la série d'enregistrements de journaux de transactions produits après cette restauration. Le numéro d'identifiant de la timeline est inclus dans le nom des fichiers segments WAL. De ce fait, une nouvelle timeline ne réécrit pas sur les données engendrées par des timelines précédentes. En fait, il est possible d'archiver plusieurs timelines différentes. Bien que cela semble être une fonctionnalité inutile, cela peut parfois sauver des vies. Dans une situation où l'instantané à restaurer n'est pas connu avec certitude, il va falloir tester les restaurations de différents instantanés jusqu'à trouver le meilleur. Sans les timelines, ce processus engendre vite un bazar ingérable. Avec les timelines, il est possible de restaurer n'importe quel état précédent, même les états de branches temporelles abandonnées.

Chaque fois qu'une nouvelle timeline est créée, PostgreSQL crée un fichier d'« historique des timelines » qui indique à quelle timeline il est attaché, et depuis quand. Ces fichiers d'historique sont nécessaires pour permettre au système de choisir les bons fichiers segments WAL lors de la restauration à partir d'une archive qui contient plusieurs timelines. Ils sont donc archivés comme tout fichier segment WAL. Puisque ce sont de simples fichiers texte, il est peu coûteux et même judicieux de les conserver indéfiniment(contrairement aux fichiers segments, bien plus volumineux). Il est possible d'ajouter des commentaires au fichier d'historique expliquant comment et pourquoi cette timeline a été créée. De tels commentaires s'avèrent précieux lorsque l'expérimentation conduit à de nombreuses timelines.

Par défaut, la restauration s'effectue jusqu'à la dernière timeline trouvée dans l'archive. Si vous souhaitez effectuer la restauration uniquement pour la timeline de la sauvegarde ou jusqu'à une timeline précise (c'est-à-dire retourner à un état enregistré après une tentative de restauration), il faut préciser current ou l'identifiant de la timeline cible dans recovery_target_timeline. Il n'est pas possible de restaurer dans des timelines antérieures à la sauvegarde.

26.3.6. Conseils et exemples

Quelques conseils de configuration de l'archivage continu sont donnés ici.

26.3.6.1. Configuration de la récupération

Il est possible d'utiliser les capacités de sauvegarde de PostgreSQL pour produire des sauvegardes autonomes à chaud. Ce sont des sauvegardes qui ne peuvent pas être utilisées pour la restauration à un instant donné, mais ce sont des sauvegardes qui sont typiquement plus rapides à obtenir et à restaurer que celles issues de pg_dump. (Elles sont aussi bien plus volumineuses qu'un export pg_dump, il se peut donc que l'avantage de rapidité soit négatif.)

Comme pour les sauvegardes de base, la manière la plus simple de créer une sauvegarde à chaud autonome est d'utiliser l'outil pg_basebackup. Si vous ajoutez le paramètre -X au lancement de la sauvegarde, tout l'historique des transactions nécessaire sera inclus automatiquement dans la sauvegarde et vous n'aurez pas d'action supplémentaire à effectuer pour restaurer votre sauvegarde.

Si vous avez besoin de plus de flexibilité pour copier les fichiers de sauvegarde, un processus bas niveau peut être utilisé pour les sauvegardes à chaud autonomes. En vu d'effectuer des sauvegardes à chaud autonomes, on positionne wal_level à replica ou supérieur, archive_mode à on, et on configure archive_command de telle sorte que l'archivage ne soit réalisé que lorsqu'un fichier de bascule existe. Par exemple :

archive_command = 'test ! -f /var/lib/pgsql/backup_in_progress || (test ! -f /var/lib/pgsql/archive/%f && cp %p /var/lib/pgsql/archive/%f)'

Cette commande réalise l'archivage dès lors que le fichier /var/lib/pgsql/backup_in_progress existe. Dans le cas contraire, elle renvoie silencieusement le code de statut zéro (permettant à PostgreSQL de recycler le journal de transactions non désiré).

Avec cette préparation, une sauvegarde peut être prise en utilisant un script comme celui-ci :

touch /var/lib/pgsql/backup_in_progress
psql -c "select pg_start_backup('hot_backup');"
tar -cf /var/lib/pgsql/backup.tar /var/lib/pgsql/data/
psql -c "select pg_stop_backup();"
rm /var/lib/pgsql/backup_in_progress
tar -rf /var/lib/pgsql/backup.tar /var/lib/pgsql/archive/

Le fichier de bascule /var/lib/pgsql/backup_in_progress est créé en premier, activant l'archivage des journaux de transactions pleins. Après la sauvegarde, le fichier de bascule est supprimé. Les journaux de transaction archivés sont ensuite ajoutés à la sauvegarde pour que la sauvegarde de base et les journaux requis fassent partie du même fichier tar. Rappelez vous d'ajouter de la gestion d'erreur à vos scripts.

26.3.6.2. Compression des fichiers archives

Si la taille du stockage des archives est un problème, vous pouvez utiliser gzip pour compresser les fichiers archives :

archive_command = 'gzip < %p > /mnt/server/archivedir/%f'

Vous aurez alors besoin d'utiliser gunzip pendant la restauration :

restore_command = 'gunzip < /mnt/server/archivedir/%f.gz > %p'

26.3.6.3. Scripts archive_command

Nombreux sont ceux qui choisissent d'utiliser des scripts pour définir leur archive_command, de sorte que leur postgresql.conf semble très simple :

archive_command = 'local_backup_script.sh "%p" "%f"'

Utiliser un script séparé est conseillé à chaque fois qu'il est envisagé d'utiliser plusieurs commandes pour le processus d'archivage. Ainsi, toute la complexité est gérée dans le script qui peut être écrit dans un langage de scripts populaires comme bash ou perl.

Quelques exemples de besoins résolus dans un script :

  • copier des données vers un stockage distant ;

  • copier les journaux de transactions en groupe pour qu'ils soient transférés toutes les trois heures plutôt qu'un à la fois ;

  • s'interfacer avec d'autres outils de sauvegarde et de restauration ;

  • s'interfacer avec un outil de surveillance pour y renvoyer les erreurs.

Astuce

Lors de l'utilisation d'un script pour le paramètre archive_command, il est préférable d'activer logging_collector. Tout message écrit sur stderr à partir du script apparaîtra ensuite dans les traces du serveur, permettant un diagnostic facilité de configurations complexes en cas de problème.

26.3.7. Restrictions

Au moment où ces lignes sont écrites, plusieurs limitations de la technique d'archivage en continu sont connues. Elles seront probablement corrigées dans une prochaine version :

  • Si une commande CREATE DATABASE est exécutée alors qu'une sauvegarde est en cours, et que la base de données modèle utilisée par l'instruction CREATE DATABASE est à son tour modifiée pendant la sauvegarde, il est possible que la récupération propage ces modifications dans la base de données créée. Pour éviter ce risque, il est préférable de ne pas modifier les bases de données modèle lors d'une sauvegarde de base.

  • Les commandes CREATE TABLESPACE sont tracées dans les journaux de transactions avec le chemin absolu et sont donc rejouées en tant que créations de tablespace suivant le même chemin absolu. Cela n'est pas forcément souhaitable si le journal est rejoué sur une autre machine. De plus, cela peut s'avérer dangereux même lorsque le journal est rejoué sur la même machine, mais dans un répertoire différent : la ré-exécution surcharge toujours le contenu du tablespace original. Pour éviter de tels problèmes, la meilleure solution consiste à effectuer une nouvelle sauvegarde de la base après la création ou la suppression de tablespace.

De plus, il faut garder à l'esprit que le format actuel des journaux de transactions est extrêmement volumineux car il inclut de nombreuses images complètes des blocs disques. Ces images de bloc sont conçues pour supporter la restauration après un arrêt brutal, puisqu'il peut être nécessaire de corriger des blocs disque partiellement écrits. En fonction du matériel et des logiciels composant le système, le risque d'écriture partielle peut être suffisamment faible pour être ignoré, auquel cas le volume total des traces archivées peut être considérablement réduit par la désactivation des images de bloc à l'aide du paramètre full_page_writes(lire les notes et avertissements dans Chapitre 30 avant de le faire). Désactiver les images de bloc n'empêche pas l'utilisation des traces pour les opérations PITR. Un piste éventuelle de développement futur consiste à compresser les données des journaux de transactions archivés en supprimant les copies inutiles de blocs même si full_page_writes est actif. Entre temps, les administrateurs peuvent souhaiter réduire le nombre d'images de blocs inclus dans les journaux de transactions en augmentant autant que possible les paramètres d'intervalle entre les checkpoints.