1、第6章 數(shù)據(jù)庫恢復(fù)技術(shù),6.1 引言 6.2 數(shù)據(jù)庫恢復(fù)概述 6.3 故障的類型 6.4 恢復(fù)的實現(xiàn)技術(shù) 6.5 恢復(fù)的策略 6.6 采用檢查點的恢復(fù)技術(shù),6.1 引言,事務(wù)是DBMS中的基本執(zhí)行單位； 在任何情況下，DBMS都應(yīng)保證事務(wù)的ACID性質(zhì)。 不但在系統(tǒng)正常運(yùn)行時應(yīng)保證事務(wù)的ACID性質(zhì)；而且在系統(tǒng)發(fā)生故障時，也應(yīng)保證事務(wù)的ACID性質(zhì)。 不但在單個應(yīng)用運(yùn)行時應(yīng)保證事務(wù)的ACID性質(zhì)；而且在單個應(yīng)用并行運(yùn)行時，也應(yīng)保證事務(wù)的ACID性質(zhì)。 保證事務(wù)在故障發(fā)生時滿足ACID性質(zhì)的措施稱為恢復(fù)技術(shù)。 保證多個事務(wù)在并行執(zhí)行時滿足ACID性質(zhì)的措施稱為并發(fā)控制技術(shù)。 恢復(fù)和并發(fā)控制是保證

2、事務(wù)正確運(yùn)行的兩項基本技術(shù)，它們被合稱為事務(wù)管理。,6.2 數(shù)據(jù)庫恢復(fù)概述,盡管數(shù)據(jù)庫系統(tǒng)中采取了各種保護(hù)措施來防止數(shù)據(jù)庫的安全性和完整性被破壞，保證并發(fā)事務(wù)的正確執(zhí)行。 但是計算機(jī)系統(tǒng)中硬件的故障、軟件的錯誤、操作員的失誤以及惡意的破壞仍是不可避免的。 這些故障輕則造成運(yùn)行事務(wù)非正常中斷，影響數(shù)據(jù)庫中數(shù)據(jù)的正確性，重則破壞數(shù)據(jù)庫，使數(shù)據(jù)庫中全部或部分?jǐn)?shù)據(jù)丟失。 因此數(shù)據(jù)庫管理系統(tǒng)(恢復(fù)子系統(tǒng))必須具有把數(shù)據(jù)庫從錯誤狀態(tài)恢復(fù)到某一已知的正確狀態(tài)（亦稱為一致狀態(tài)或完整狀態(tài)）的功能，這就是數(shù)據(jù)庫的恢復(fù)。,6.3 故障的類型,事務(wù)內(nèi)部故障 事務(wù)內(nèi)部的故障有的是可以通過事務(wù)程序本身發(fā)現(xiàn)的（見下面轉(zhuǎn)帳事

3、務(wù)的例子），有的是非預(yù)期的，不能由事務(wù)程序處理的。 例如：銀行轉(zhuǎn)帳事務(wù)，這個事務(wù)把一筆金額從一個帳戶甲轉(zhuǎn)給另一個帳戶乙。 BEGIN TRANSACTION 讀帳戶甲的余額BALANCE； BALANCE = BALANCE-AMOUNT；（AMOUNT 為轉(zhuǎn)帳金額） IF（BALANCE0 ） THEN 打印金額不足，不能轉(zhuǎn)帳； ROLLBACK；（撤消剛才的修改，恢復(fù)事務(wù)） ELSE 讀帳戶乙的余額BALANCE1； BALANCE1 = BALANCE1+AMOUNT； 寫回BALANCE1； COMMIT；,6.3 故障的類型,上面這個例子所包括的兩個更新操作要么全部完成要么全部不做。

4、否則就會使數(shù)據(jù)庫處于不一致狀態(tài)，例如只把帳戶甲的余額減少了而沒有把帳戶乙的余額增加。 在這段程序中若產(chǎn)生帳戶甲余額不足的情況，應(yīng)用程序可以發(fā)現(xiàn)并讓事務(wù)滾回，撤消已作的修改，恢復(fù)數(shù)據(jù)庫到正確狀態(tài)。 事務(wù)內(nèi)部更多的故障是非預(yù)期的，是不能由應(yīng)用程序處理的。如運(yùn)算溢出、并發(fā)事務(wù)發(fā)生死鎖而被選中撤消該事務(wù)、違反了某些完整性限制等。以后，事務(wù)故障僅指這類非預(yù)期的故障。 事務(wù)故障意味著事務(wù)沒有達(dá)到預(yù)期的終點（COMMIT或者顯式的ROLLBACK），因此，數(shù)據(jù)庫可能處于不正確狀態(tài)。 恢復(fù)程序要在不影響其它事務(wù)運(yùn)行的情況下，強(qiáng)行回滾（ROLLBACK）該事務(wù)，即撤消該事務(wù)已經(jīng)作出的任何對數(shù)據(jù)庫的修改，使得該事

5、務(wù)好象根本沒有啟動一樣。這類恢復(fù)操作稱為事務(wù)撤消（UNDO）。,6.3 故障的類型,系統(tǒng)故障 系統(tǒng)故障是指造成系統(tǒng)停止運(yùn)轉(zhuǎn)的任何事件，使得系統(tǒng)要重新啟動。例如，特定類型的硬件錯誤(CPU故障)、操作系統(tǒng)故障、DBMS代碼錯誤、突然停電等等。 這類故障影響正在運(yùn)行的所有事務(wù)，但不破壞數(shù)據(jù)庫。這時主存內(nèi)容，尤其是數(shù)據(jù)庫緩沖區(qū)(在內(nèi)存)中的內(nèi)容都被丟失，所有運(yùn)行事務(wù)都非正常終止。 發(fā)生系統(tǒng)故障時，一些尚未完成的事務(wù)的結(jié)果可能已送入物理數(shù)據(jù)庫，有些已完成的事務(wù)可能有一部分甚至全部留在緩沖區(qū)，尚未寫回到磁盤上的物理數(shù)據(jù)庫中，從而造成數(shù)據(jù)庫可能處于不正確的狀態(tài)。 為保證數(shù)據(jù)一致性，恢復(fù)子系統(tǒng)必須在系統(tǒng)重新

6、啟動時讓所有非正常終止的事務(wù)回滾，強(qiáng)行撤消(UNDO)所有未完成事務(wù)。重做(Redo)所有已提交的事務(wù)，以將數(shù)據(jù)庫真正恢復(fù)到一致狀態(tài)。,6.3 故障的類型,介質(zhì)故障 系統(tǒng)故障常稱為軟故障（Soft Crash），介質(zhì)故障稱為硬故障（Hard Crash）。 硬故障指外存故障，如磁盤損壞、磁頭碰撞，瞬時強(qiáng)磁場干擾等。這類故障將破壞數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫，并影響正在存取這部分?jǐn)?shù)據(jù)的所有事務(wù)。 這類故障比前兩類故障發(fā)生的可能性小得多，但破壞性最大。,6.3 故障的類型,計算機(jī)病毒 計算機(jī)病毒是具有破壞性、可以自我復(fù)制的計算機(jī)程序。計算機(jī)病毒已成為計算機(jī)系統(tǒng)的主要威脅，自然也是數(shù)據(jù)庫系統(tǒng)的主要威脅。因此數(shù)

7、據(jù)庫一旦被破壞仍要用恢復(fù)技術(shù)把數(shù)據(jù)庫加以恢復(fù)。 總結(jié)各類故障，對數(shù)據(jù)庫的影響有兩種可能性。一是數(shù)據(jù)庫本身被破壞。二是數(shù)據(jù)庫沒有破壞，但數(shù)據(jù)可能不正確，這是因為事務(wù)的運(yùn)行被非正常終止造成的。 恢復(fù)的基本原理十分簡單?？梢杂靡粋€詞來概括：冗余。這就是說，數(shù)據(jù)庫中任何一部分被破壞的或不正確的數(shù)據(jù)可以根據(jù)存儲在系統(tǒng)別處的冗余數(shù)據(jù)來重建。 盡管恢復(fù)的基本原理很簡單但實現(xiàn)技術(shù)的細(xì)節(jié)卻相當(dāng)復(fù)雜，下面我們將略去許多細(xì)節(jié)，介紹數(shù)據(jù)庫恢復(fù)的實現(xiàn)技術(shù)。,6.4 恢復(fù)的實現(xiàn)技術(shù),概述 恢復(fù)機(jī)制涉及的兩個關(guān)鍵問題是： 第一，如何建立冗余數(shù)據(jù)； 第二，如何利用這些冗余數(shù)據(jù)實施數(shù)據(jù)庫恢復(fù)。 建立冗余數(shù)據(jù)最常用的技術(shù)是數(shù)據(jù)備

8、份和登錄日志文件。通常在一個數(shù)據(jù)庫系統(tǒng)中，這兩種方法是一起使用的。 (計算機(jī) 4月9日）,6.4 恢復(fù)的實現(xiàn)技術(shù),數(shù)據(jù)庫備份 所謂備份即DBA定期地將整個數(shù)據(jù)庫復(fù)制到磁帶或另一個磁盤上保存起來的過程。這些備用的數(shù)據(jù)文本稱為后備副本或后援副本。 當(dāng)數(shù)據(jù)庫遭到破壞后可以將后備副本重新裝入，但重裝后備副本只能將數(shù)據(jù)庫恢復(fù)到備份時的狀態(tài)，要想恢復(fù)到故障發(fā)生時的狀態(tài)，必須重新運(yùn)行自備份以后的所有更新事務(wù)。,6.4 恢復(fù)的實現(xiàn)技術(shù),例如在下圖中，系統(tǒng)在Ta時刻停止運(yùn)行事務(wù)進(jìn)行數(shù)據(jù)庫備份，在Tb時刻備份完畢，得到Tb0時刻的數(shù)據(jù)庫一致性副本。 系統(tǒng)運(yùn)行到Tf時刻發(fā)生故障。為恢復(fù)數(shù)據(jù)庫，首先由重裝數(shù)據(jù)庫后備副

9、本，將數(shù)據(jù)庫恢復(fù)至Tb時刻的狀態(tài)，然后重新運(yùn)行自Tb時刻至Tf時刻的所有更新事務(wù)，這樣就把數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的一致狀態(tài)。,6.4 恢復(fù)的實現(xiàn)技術(shù),備份是十分耗費(fèi)時間和資源的，不能頻繁進(jìn)行。DBA應(yīng)該根據(jù)數(shù)據(jù)庫的使用情況確定一個適當(dāng)?shù)膫浞葜芷凇?備份可分為脫機(jī)(off line)備份和聯(lián)機(jī)(on line)備份兩種方式。 脫機(jī)備份是在備份過程中數(shù)據(jù)庫系統(tǒng)處于脫機(jī)狀態(tài)，即在備份過程中數(shù)據(jù)庫系統(tǒng)不再接受應(yīng)用程序的訪問，因此，脫機(jī)備份又稱為靜態(tài)備份。 聯(lián)機(jī)備份是在備份過程中數(shù)據(jù)庫系統(tǒng)處于聯(lián)機(jī)狀態(tài)，即在進(jìn)行備份的同時數(shù)據(jù)庫系統(tǒng)還可接受應(yīng)用程序的訪問因此，聯(lián)機(jī)備份又稱為動態(tài)備份。 備份還可以分為海量備

10、份和增量備份兩種方式。 海量備份是指每次備份全部數(shù)據(jù)庫。 增量備份則指每次只備份上一次備份后更新過的數(shù)據(jù)。 從恢復(fù)角度看，使用海量備份得到的后備副本進(jìn)行恢復(fù)一般說來會更方便些。但如果數(shù)據(jù)庫很大，事務(wù)處理又十分頻繁，則增量備份方式更實用更有效。,6.4 恢復(fù)的實現(xiàn)技術(shù),數(shù)據(jù)庫日志 日志文件的格式和內(nèi)容 日志文件是用來記錄事務(wù)對數(shù)據(jù)庫的更新操作的文件。 不同數(shù)據(jù)庫系統(tǒng)采用的日志文件格式并不完全一樣。概括起來日志文件主要有兩種格式： 以記錄為單位的日志文件和 以數(shù)據(jù)塊為單位的日志文件。,6.4 恢復(fù)的實現(xiàn)技術(shù),對于以記錄為單位的日志文件，日志文件中需要登記的內(nèi)容包括： 各個事務(wù)的開始(BEGIN T

11、RANSACTION)標(biāo)記 各個事務(wù)的結(jié)束(COMMIT或ROLL BACK)標(biāo)記 各個事務(wù)的所有更新操作 這里每個事務(wù)開始的標(biāo)記、每個事務(wù)的結(jié)束標(biāo)記和每個更新操作均作為日志文件中的一個日志記錄(log record)。 每個日志記錄的內(nèi)容主要包括： 事務(wù)標(biāo)識TID(標(biāo)明是那個事務(wù)) 操作的類型(插入、刪除或修改) 操作對象(記錄內(nèi)部標(biāo)識) 更新前數(shù)據(jù)的舊值(對插入操作而言，此項為空值) 更新后數(shù)據(jù)的新值(對刪除操作而言, 此項為空值),6.4 恢復(fù)的實現(xiàn)技術(shù),日志文件的作用 日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用?？梢杂脕磉M(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)。 具

12、體地講：事務(wù)故障恢復(fù)和系統(tǒng)故障必須用日志文件。 在動態(tài)備份方式中必須建立日志文件，后援副本和日志文件綜合起來才能有效地恢復(fù)數(shù)據(jù)庫。,6.4 恢復(fù)的實現(xiàn)技術(shù),在靜態(tài)備份方式中，也可以建立日志文件。 當(dāng)數(shù)據(jù)庫毀壞后可重新裝入后援副本把數(shù)據(jù)庫恢復(fù)到備份結(jié)束時刻的正確狀態(tài)，然后利用日志文件，把已完成的事務(wù)進(jìn)行重做處理，對故障發(fā)生時尚未完成的事務(wù)進(jìn)行撤消處理。 這樣不必重新運(yùn)行那些已完成的事務(wù)程序就可把數(shù)據(jù)庫恢復(fù)到故障前某一時刻的正確狀態(tài),如下圖所示。,6.4 恢復(fù)的實現(xiàn)技術(shù),登記日志文件（logging） 為保證數(shù)據(jù)庫是可恢復(fù)的，登記日志文件時必須遵循兩條原則： 1. 登記的次序嚴(yán)格按并發(fā)事務(wù)執(zhí)行的時

13、間次序。 2. 必須先寫日志文件，后寫數(shù)據(jù)庫。 把對數(shù)據(jù)的修改寫到數(shù)據(jù)庫中和把寫表示這個修改的日志記錄寫到日志文件中是兩個不同的操作。有可能在這兩個操作之間發(fā)生故障，即這兩個寫操作只完成了一個。如果先寫了數(shù)據(jù)庫修改，而在運(yùn)行記錄中沒有登記下這個修改，則以后就無法恢復(fù)這個修改了。 如果先寫日志，但沒有修改數(shù)據(jù)庫，按日志文件恢復(fù)時只不過是多執(zhí)行一次不必要的UNDO操作，并不會影響數(shù)據(jù)庫的正確性。所以為了安全，一定要先寫日志文件，即首先把日志記錄寫到日志文件中，然后寫數(shù)據(jù)庫的修改。 這就是所謂的“提前寫日志”原則。,6.5 恢復(fù)的策略,事務(wù)故障的恢復(fù) 事務(wù)故障是指事務(wù)在運(yùn)行至正常終止點前被中止，這時

14、恢復(fù)子系統(tǒng)應(yīng)利用日志文件撤消（UNDO）此事務(wù)已對數(shù)據(jù)庫進(jìn)行的修改。 事務(wù)故障的恢復(fù)是由系統(tǒng)自動完成的，對用戶是透明的。系統(tǒng)的恢復(fù)步驟是： 反向掃描文件日志（即從最后向前掃描日志文件），查找該事務(wù)的更新操作。 對該事務(wù)的更新操作執(zhí)行逆操作。即將日志記錄中“更新前的值”寫入數(shù)據(jù)庫。這樣，如果記錄中是插入操作，則相當(dāng)于做刪除操作（因此時“更新前的值”為空）。若記錄中是刪除操作，則做插入操作，若是修改操作，則相當(dāng)于用修改前值代替修改后值。 繼續(xù)反向掃描日志文件，查找該事務(wù)的其他更新操作，并做同樣處理。 如此處理下去，直至讀到此事務(wù)的開始標(biāo)記，事務(wù)故障恢復(fù)就完成了。,6.5 恢復(fù)的策略,系統(tǒng)故障的恢復(fù)

15、 前面已講過，系統(tǒng)故障造成數(shù)據(jù)庫不一致狀態(tài)的原因有兩個，一是未完成事務(wù)對數(shù)據(jù)庫的更新可能已寫入數(shù)據(jù)庫，二是已提交事務(wù)對數(shù)據(jù)庫的更新可能還留在緩沖區(qū)沒來得及寫入數(shù)據(jù)庫。因此恢復(fù)操作就是要撤消故障發(fā)生時未完成的事務(wù)，重做已完成的事務(wù)。 系統(tǒng)故障的恢復(fù)是由系統(tǒng)在重新啟動時自動完成的，不需要用戶干預(yù)。 系統(tǒng)的恢復(fù)步驟是： 正向掃描日志文件（即從頭掃描日志文件），找出在故障發(fā)生前已經(jīng)提交事務(wù)（這些事務(wù)既有BEGIN TRANSACTION記錄，也有COMMIT記錄），將其事務(wù)標(biāo)識記入重做(REDO)隊列。 同時找出故障發(fā)生時尚未完成的事務(wù)（這些事務(wù)只有BEGIN TRANSACTION記錄，無相應(yīng)的CO

16、MMIT記錄），將其事務(wù)標(biāo)識記入撤消(UNDO)隊列。 對撤消隊列中的各個事務(wù)進(jìn)行撤消(UNDO)處理。,6.5 恢復(fù)的策略,注：進(jìn)行UNDO處理的方法是，反向掃描日志文件，對每個UNDO事務(wù)的更新操作執(zhí)行逆操作，即將日志記錄中“更新前的值”寫入數(shù)據(jù)庫。 對重做隊列中的各個事務(wù)進(jìn)行重做(REDO)處理。 注：進(jìn)行REDO處理的方法是：正向掃描日志文件，對每個REDO事務(wù)重新執(zhí)行日志文件登記的操作。即將日志記錄中“更新后的值”寫入數(shù)據(jù)庫。,6.5 恢復(fù)的策略,介質(zhì)故障的恢復(fù) 發(fā)生介質(zhì)故障后，磁盤上的物理數(shù)據(jù)和日志文件被破壞，這是最嚴(yán)重的一種故障，恢復(fù)方法是重裝數(shù)據(jù)庫，然后重做已完成的事務(wù)。 具體

17、步驟是： 1) 裝入最新的數(shù)據(jù)庫后備副本（離故障發(fā)生時刻最近的備份副本），使數(shù)據(jù)庫恢復(fù)到最近一次備份時的一致性狀態(tài)。 對于聯(lián)機(jī)備份的數(shù)據(jù)庫副本，還須同時裝入備份開始時刻的日志文件副本，利用恢復(fù)系統(tǒng)故障的方法（即REDO+UNDO），才能將數(shù)據(jù)庫恢復(fù)到一致性狀態(tài)。,6.5 恢復(fù)的策略,2) 裝入相應(yīng)的日志文件副本（備份結(jié)束時刻的日志文件副本），重做已完成的事務(wù)。即： 首先掃描日志文件，找出故障發(fā)生時已提交的事務(wù)的標(biāo)識，將其記入重做(REDO)隊列。 然后正向掃描日志文件，對重做隊列中的所有事務(wù)進(jìn)行重做處理。即將日志記錄中“更新后的值”寫入數(shù)據(jù)庫。 這樣就可以將數(shù)據(jù)庫恢復(fù)至故障前某一時刻的一致狀態(tài)

18、了。 介質(zhì)故障的恢復(fù)需要DBA的介入。但DBA只需要重裝最近備份的數(shù)據(jù)庫副本和有關(guān)的各日志文件副本，然后執(zhí)行系統(tǒng)提供的恢復(fù)命令即可，具體的恢復(fù)操作仍由DBMS完成。,6.6 采用檢查點的恢復(fù)技術(shù),利用日志技術(shù)進(jìn)行數(shù)據(jù)庫恢復(fù)時，恢復(fù)子系統(tǒng)必須搜索日志，確定哪些事務(wù)需要REDO，哪些事務(wù)需要UNDO。 一般來說，我們需要檢查所有日志記錄。這樣做具有兩個問題: 一是搜索整個日志將耗費(fèi)大量的時間。 二是很多需要REDO處理的事務(wù)實際上已經(jīng)將它們的更新操作結(jié)果寫到數(shù)據(jù)庫中了，然而恢復(fù)子系統(tǒng)又重新執(zhí)行了這些操作，浪費(fèi)了大量時間。 為了解決這些問題，又發(fā)展了具有檢查點的恢復(fù)技術(shù)。,6.6 采用檢查點的恢復(fù)技

19、術(shù),檢查點技術(shù)就是在日志文件中增加一類新的記錄-檢查點記錄（checkpoint），增加一個重新開始文件，并讓恢復(fù)子系統(tǒng)在登錄日志文件期間動態(tài)地維護(hù)日志。 檢查點記錄的內(nèi)容包括： 1) 建立檢查點時刻所有正在執(zhí)行的事務(wù)清單。 2) 這些事務(wù)最近一個日志記錄的地址。 3) 重新開始文件用來記錄各個檢查點記錄在日志文件中的地址。,6.6 采用檢查點的恢復(fù)技術(shù),動態(tài)維護(hù)日志文件的方法是，周期性地執(zhí)行如下操作：建立檢查點，保存數(shù)據(jù)庫狀態(tài)，。具體步驟是： 1) 將當(dāng)前日志緩沖中的所有日志記錄寫入磁盤的日志文件上。 2) 在日志文件中寫入一個檢查點記錄。 3) 將當(dāng)前數(shù)據(jù)緩沖的所有數(shù)據(jù)記錄寫入磁盤的數(shù)據(jù)庫中。 4) 把檢查點記錄在日志文件中的地址寫入一個重新開始文件。 恢復(fù)子系統(tǒng)可以定期或不定期地建立檢查點保存數(shù)據(jù)庫狀態(tài)。 檢查點可以按照預(yù)定的一個時間間隔建立，如每隔一小時建立一個檢查點；也可以按照某種規(guī)則建立檢查點，如日志文件已寫滿一半建立一個檢查點。 使用檢查點方法可以改善恢復(fù)效率。當(dāng)事務(wù)T在一個檢查點之前提交，T對數(shù)據(jù)庫所做的修改一定都已寫入數(shù)據(jù)庫，寫入時間是在這個檢查點建立之前或在這個檢查點建立之時。這樣，在進(jìn)行恢復(fù)處理時，沒有必要對事務(wù)T執(zhí)行REDO操作。,6.6 采用檢查點的恢復(fù)技術(shù),系統(tǒng)出現(xiàn)故障時恢復(fù)子系