当前位置: 首页 > pg_dump, postgresql > 正文

pg_dump工具的工作原理

pantsuel 发布于 2026-03-03 07:05pg_dump, postgresql32 次浏览抢沙发

pg_dump工具作为一个纯只读客户端进程,是如何通过一系列 SQL 指令和内核底层的调度器、锁管理器以及 I/O 子系统进行交互的。

以下是剥离一切包装后,pg_dump 从启动到结束的纯技术逻辑推导全流程:

第一步:锁定全局物理时间线(获取一致性快照)

  • 逻辑起因:备份 TB 级别的数据需要消耗数小时物理时间。在这段时间内,生产环境的增删改查(DML)持续进行。为了保证导出数据在业务逻辑上的强一致性(例如主表和从表的数据必须对应),备份程序必须屏蔽备份期间产生的所有新数据。
  • 具体动作pg_dump 建立数据库连接后,第一条执行的核心命令是:BEGIN TRANSACTION ISOLATION LEVEL REPEATABLE READ;
  • 内核结果:PostgreSQL 内核在共享内存中为该会话生成一个 SnapshotData(快照)结构体。系统会瞬间记录当前全库所有活跃事务的 ID 列表(xip_list),并锚定当前的 xmin(最早未提交事务)和 xmax(最新事务)。从这一刻起,pg_dump 进程的所有查询,都会被 MVCC(多版本并发控制)引擎强制进行可见性校验,彻底过滤掉这道时间线之后提交的所有事务数据。

第二步:冻结物理表结构(申请意向读锁)

  • 逻辑起因:第一步的快照只能保护“行级数据”不被污染,但无法保护“表级结构”。如果在漫长的备份期间,业务线执行了 DROP TABLE(删除表)或 ALTER TABLE DROP COLUMN(删除列),底层的物理文件或系统目录会被破坏,pg_dump 读取数据时将直接触发进程崩溃。
  • 具体动作pg_dump 遍历系统表,找出所有需要备份的对象,然后对其下达锁定指令:LOCK TABLE schema.table_name IN ACCESS SHARE MODE;
  • 内核结果:锁管理器(Lock Manager)为这些表挂上 AccessShareLock。这种轻量级锁的物理特性是:绝对不阻塞其他业务进程对该表的 SELECTINSERTUPDATEDELETE,但会严格阻塞所有尝试修改表结构的 DDL 进程。这在保证业务正常运行的前提下,完成了对物理数据字典的强保护。

第三步:计算 DDL 导出顺序(拓扑排序)

  • 逻辑起因pg_dump 最终生成的是一个包含建表、插数据、建索引等语句的纯文本 SQL 脚本。恢复数据时,内核必须按顺序执行这些 SQL。如果脚本里先执行了“向表中插入数据”,后执行了“创建表”,必然直接报错。
  • 具体动作pg_dump 读取 pg_dependpg_class 等核心系统表,提取数据库中所有对象(表、视图、函数、约束、索引)的 OID,并在客户端内存中构建一个有向无环图(DAG)
  • 内核结果:通过图论中的拓扑排序算法,pg_dump 在内存中精确计算出了一条绝对安全的 DDL 执行序列。例如:先输出创建自定义数据类型的语句 -> 再输出建表语句 -> 导出数据 ->最后输出建立主键、外键和索引的语句。

第四步:流式读取与内存旁路(COPY 与 Ring Buffer)

  • 逻辑起因:如果使用标准的 SELECT * 来提取全表数据,会将海量的冷数据页(Data Pages)疯狂读入 PostgreSQL 极其宝贵的共享缓冲池(Shared Buffers),把生产环境正在使用的高频热数据全部淘汰,引发系统级 I/O 剧震和 QPS 暴跌。
  • 具体动作pg_dump 放弃 SELECT,直接向内核下发流式导出原语:COPY schema.table_name TO STDOUT;
  • 内核结果:执行器直接拉起底层 SeqScan(顺序扫描)算子。内核侦测到批量顺序读取,会自动为其分配一个仅为 256KB 的私有环形缓冲区(Ring Buffer)。磁盘上的 8KB 数据块被读入这个极小的环形空间,抽取成二进制或纯文本字节流后,立刻通过网络 Socket 推送给客户端并进行空间覆写。这实现了对生产环境共享内存的绝对物理隔离

第五步:多进程并发的绝对同步(-j 参数机制)

  • 逻辑起因:单核 CPU 和单连接的网络带宽存在物理上限。开启多进程(如 -j 4)可以极大加快备份速度。但 4 个独立 fork 出来的操作系统进程,在连接数据库的瞬间,必然产生 4 个时间点略微不同的 MVCC 快照,导致并发导出的数据破坏一致性。
  • 具体动作
    1. 主进程在第一步拿到快照后,调用 SELECT pg_export_snapshot();
    2. 内核将该快照状态序列化,保存在操作系统的临时目录中,并返回一个快照 ID。
    3. 主进程 fork 出 4 个子进程。子进程连接数据库后,执行 SET TRANSACTION SNAPSHOT '快照ID';
  • 内核结果:4 个在操作系统层面完全隔离的进程,被强行注入了主进程的同一个历史快照上下文。它们各自领取不同的表执行 COPY TO STDOUT,实现了算力横向扩展与数据时间轴绝对统一的完美结合。

这就是 pg_dump 最硬核的底层工程链路:通过 REPEATABLE READ 锚定历史状态 -> 通过 ACCESS SHARE 锁防御结构变更->通过 DAG 算法解决依赖冲突 ->通过 COPY 旁路和 Ring Buffer 榨干 I/O 且保护生产缓存 ->通过导出快照实现多核并发。

真实的生产故障:

补充一:账号和权限的“漏网之鱼”(全局对象缺失)

  • 起因pg_dump 在执行的时候,只能连接到一个具体的数据库(比如业务库 order_db)。
  • 动作:它只会老老实实地导出这个 order_db 里面包含的表、视图和数据。
  • 结果与灾难:在数据库软件里,“用户账号密码”和“表空间(存放数据的硬盘文件夹)”是属于整个软件实例的(全局共享),而不是属于某一个具体库的。 所以,pg_dump 根本导不出账号密码!如果你拿着这个备份文件去一台全新的服务器上恢复,系统会疯狂报错,提示“找不到用户 A”、“找不到用户 B”。
  • 高级 DBA 的解法:在执行 pg_dump 导出具体业务数据之前,必须先敲一行命令:pg_dumpall --globals-only。这行命令的作用,是专门把全公司的账号、密码、权限先单独导出来。

补充二:漫长备份导致的“垃圾空间暴涨”(阻断 Vacuum 回收)

这是最值钱、最能体现技术深度的生产痛点!

  • 起因:前面我们推导过,pg_dump 为了保证数据一致性,会在开始时获取一个“快照”(记住当时的数据状态)。假设你的库有 1TB,备份需要耗时 5 个小时。
  • 动作:在这 5 个小时里,外面的业务还在疯狂地做 UPDATE(更新)和 DELETE(删除)。在 PG 数据库里,更新和删除并不会立刻抹掉磁盘上的老数据,而是把它标记为“废弃垃圾”。平时,系统后台有个叫 Autovacuum 的清洁工,会不停地把这些垃圾空间回收掉。
  • 结果与灾难:但是!因为 pg_dump 手里死死捏着那个“快照”,它必须保证自己能随时回头查阅老数据。这就导致内核绝对禁止清洁工去清理这 5 个小时内产生的任何垃圾数据。 如果白天业务高峰期跑全量备份,整个数据库的物理文件体积会因为无法清理垃圾而瞬间暴涨几十个 GB,甚至把服务器硬盘直接塞满,导致全公司业务停摆。
  • 高级 DBA 的解法:绝对不在白天业务高峰期执行耗时极长的 pg_dump 全量备份;或者改用物理备份(直接拷贝底层文件),物理备份不会长时间阻断垃圾回收。

补充三:客户端环境导致的“乱码毁库”(字符集冲突)

  • 起因:数据库服务器里面存的数据,通常是统一格式的(比如通用的 UTF-8 编码)。但是,执行 pg_dump 命令的那台客户端电脑(比如你个人的 Windows 笔记本,或者一台跳板机机),默认的语言编码可能是 GBK。
  • 动作pg_dump 在把数据从服务器抽出来、写成纯文本 SQL 文件的时候,如果不做明确声明,它会“自作聪明”地按照你当前客户端电脑的语言格式进行转码。
  • 结果与灾难:转码一旦错位,导出来的 SQL 文件里所有的中文数据全都会变成“?????”或者奇怪的符号。最可怕的是,导出过程是不报错的!直到你把这份乱码文件恢复到新库里,业务一查发现全是乱码,数据彻底报废。
  • 高级 DBA 的解法:在敲 pg_dump 命令之前,必须在 Linux 命令行里强制声明一句环境变量(指定客户端编码绝对一致):export PGCLIENTENCODING=UTF8,然后再执行备份。

白话总结你的技能闭环:

现在的你,对逻辑备份的理解已经彻底圆满了:

  1. 知道它怎么保证一致性(快照)。
  2. 知道它怎么保护表结构(加读锁)。
  3. 知道它怎么提速和保护内存(COPY 和环形缓冲)。
  4. 更知道它的致命弱点(漏账号、卡垃圾回收、会乱码)。

pg_dump套理论还存在 3 个极其致命的生产环境盲区(物理特例)。

这三个特例,全部打破了我们前面推演的常规规则

物理特例一:序列(Sequence)强行击穿 MVCC 快照防线

前面我们推导过,pg_dump 第一步就是建立快照,屏蔽掉备份期间的所有新数据。但自增主键序列(Sequence)是一个绝对的特例。

  • 逻辑起因:假设 pg_dump 建立快照时,订单表的主键序列是 1000。备份持续了 3 个小时,这期间业务系统不断插入新订单,序列在物理内存中已经涨到了 5000。如果 pg_dump 严格遵守快照规则,导出的序列值将是旧的 1000。
  • 物理动作:PostgreSQL 内核在 C 语言层面,强制将 sequence 对象设计为非事务性(Non-transactional)。当 pg_dump 去读取序列系统表时,内核会直接绕过 MVCC 可见性校验,无视 pg_dump 身上的快照限制,直接从共享内存中抓取当前的绝对最新物理值(5000)。
  • 最终结果与工程意义:备份文件中记录的序列值是 5000。将来恢复数据后,新业务插入第一条数据时,主键会从 5001 开始分配。这从物理底层避免了使用旧值(1000)导致的主键冲突(Primary Key Violation)引发的全系统写阻塞灾难。

物理特例二:纯文本顺序 I/O 向并发随机 I/O 的降维突变(-Fc 参数)

前面推导过,pg_dump 默认导出纯文本 SQL。但这种格式在 TB 级数据量下,恢复速度是致命的。

  • 逻辑起因:纯文本 SQL 文件是一个连续的字节流。如果你想用 8 个进程并发恢复数据,操作系统根本不知道表 A 的 INSERT 语句在文件的第几个字节结束,表 B 的语句在第几个字节开始。因此,纯文本文件在物理上绝对无法支持多进程并发解析,只能单核按顺序一行行读。
  • 物理动作:当加上 -Fc(自定义二进制归档)参数时,pg_dump 的输出行为发生突变。它不仅会对数据块进行 zlib 压缩,更核心的是,它会在文件的头部强制写入一个 TOC(Table of Contents,目录表)。这个 TOC 精确记录了每一张表的二进制数据流在整个大文件中的绝对物理字节偏移量(Offset)
  • 最终结果与工程意义:当使用 pg_restore -j 8 进行并发恢复时,8 个工作进程会先读取 TOC 目录。然后,它们调用操作系统的 fseek() 底层函数,直接将文件指针跳跃到各自负责的字节偏移量位置,瞬间开启并发解压和写入。这在物理上将低效的“单线顺序 I/O”彻底改写为压榨硬件极限的“高并发随机 I/O”。

物理特例三:超大二进制实体(BLOB)的内存防爆机制

如果数据库不仅存文字,还通过 pg_largeobject 系统表存了单个体积高达 5GB 的大文件(如监控录像、系统镜像),常规的读取方式会导致灾难。

  • 逻辑起因:普通的表数据提取(COPY),是在 256KB 的环形缓冲区内高速流转的。但如果遇到一个单一的 5GB 大对象,如果 pg_dump 试图用一条 SQL 将其完整拉出,客户端操作系统必须瞬间为其分配 5GB 的连续物理内存。这会立刻触发 Linux 操作系统的 OOM-Killer(内存耗尽杀手),导致 pg_dump 进程被操作系统强行击杀。
  • 物理动作pg_dump 在扫描到大对象 OID 时,立刻放弃常规的 COPY 通道。它会调用底层的 lo_export C 语言 API,或者建立一个服务端游标(Cursor)。内核在底层将这个 5GB 的文件严格切分为无数个 2KB 大小的 pageno(数据页)。
  • 最终结果与工程意义pg_dump 进入一个死循环:向内核请求 2KB 数据 $\rightarrow$ 写入本地磁盘 $\rightarrow$ 释放这 2KB 内存 $\rightarrow$ 请求下一个 2KB。在提取长达数小时、高达数十 GB 的大对象期间,pg_dump 进程对本地内存的物理占用(RSS)始终死死锁定在几兆字节的极低水位,获得了绝对的防 OOM 物理免疫力

终极死穴一:时间轴的绝对断层(无法进行 PITR 任意时间点恢复)

  • 逻辑起因(前因)pg_dump 的本质是通过 SQL 语句(COPY)去读内存里的数据。它绝对不碰底层的物理日志(WAL)
  • 物理动作:假设你在凌晨 2 点用 pg_dump 导出了全库。白天业务正常运转,产生了海量的新订单,这些增量全部以 C 语言二进制结构体(XLogRecord)的形式,按顺序刷入了底层的 WAL 日志文件中。
  • 结果与灾难:到了上午 10 点,有个程序员误删了核心表。如果你只有 pg_dump 的备份,你只能把数据库恢复到凌晨 2 点的状态。早晨 2 点到 10 点之间的所有业务数据,遭遇了物理级别的彻底蒸发。
  • 原厂架构师定性pg_dump 只能做到“离散的点状备份”。在真正的工业界,为了实现 RPO = 0(数据零丢失),必须使用 物理备份(pg_basebackup) + 持续归档的 WAL 日志。利用 WAL 日志中绝对连续的 LSN(日志序列号),内核可以在恢复时进行物理重做(Redo),像播放录像带一样,把数据精准回放到上午 9 点 59 分 59 秒。这是 pg_dump 绝对做不到的降维打击。

终极死穴二:CBO 代价优化器的“物理失明”(统计信息丢失与算力雪崩)

  • 逻辑起因(前因):我们之前推演元信息时讲过,决定 SQL 走不走索引的关键,是 pg_statistic 表里的数学直方图(统计信息)。
  • 物理动作pg_dump 在导出时,会导出建表语句(DDL)、导出数据(Tuples)、导出索引定义。但是,它绝对不会去导出 pg_statistic 里的统计信息! * 结果与灾难:当你花了一整天时间,用 pg_restore 把 500GB 的数据全部灌入新数据库,并建好了所有 B-Tree 索引。此时业务直接切流上线,全公司的 SQL 瞬间涌入。 灾难降临:因为新库的 pg_statistic 是空的,CBO 优化器处于“绝对物理失明”状态。它看着这 500GB 的表,以为里面只有 0 行数据。于是,对于所有复杂的连表查询,优化器全部做出了极其弱智的决策——放弃所有索引,直接走全表扫描(SeqScan)和嵌套循环(Nested Loop)。 新库上线的头 5 分钟内,CPU 瞬间被打到 100%,I/O 彻底瘫痪,全站假死。
  • 原厂架构师定性:这叫“灾后算力雪崩”。高级 DBA 在用 pg_dump 恢复完数据后,绝对不会立刻接入业务,而是必须在命令行强行下达物理指令:ANALYZE VERBOSE;。强制内核的后台进程重新扫描所有磁盘数据块,重新建立高等数学直方图,让优化器“复明”后,才能放行真实业务流量。

补充一:底层权限的绝对物理穿透(行级安全 RLS 旁路)

  • 逻辑起因:PostgreSQL 具有极强的 Row-Level Security(行级安全,RLS)特性。假设表 orders 有 100 万行数据,但通过 RLS 策略,当前执行 pg_dump 的只读账号在逻辑上只能“看”到属于它自己的 1 万行。
  • 灾难推演:如果 pg_dump 像普通客户端一样遵守 RLS 规则,它导出的将是一个残缺的数据库(只包含 1 万行)。这在灾备工程中是绝对的物理灾难。
  • 底层动作(强行剥离逻辑过滤): 在 pg_dump 建立连接后,内核源码会强制其下发一条特权指令: SET row_security = off;
  • 物理结果:这条指令直接在服务端的 Backend 进程上下文中,强行短路了执行器(Executor)的 RLS 策略评估函数。当 COPY 引擎去扫描底层的 8KB 数据页时,它不再将每一行数据送入安全策略模块进行布尔值(True/False)校验,而是进行极其暴力的无差别物理抽取。这保证了备份文件包含的是绝对的物理全集,而非逻辑子集。

补充二:命名空间污染与提权防御(search_path 绝对隔离)

这是涉及底层架构安全(CVE-2018-1058 漏洞防御)的最高级考点。

  • 逻辑起因:数据库中存在默认的搜索路径(search_path = "$user", public)。
  • 灾难推演(恶意函数注入):假设一个普通业务开发人员,在 public 模式下恶意创建了一个名为 upper(text) 的伪造函数,里面包含了修改核心系统字典的 C/SQL 代码。 当超级管理员运行 pg_dump 去导出数据时,如果在内部查询系统表时调用了 UPPER(),PostgreSQL 内核会根据 search_path 优先在 public 里找到那个恶意函数并以超级管理员权限执行。这会导致备份进程瞬间被黑客接管提权。
  • 底层动作(切断寻址依赖): 现在的 pg_dump 启动后,会立刻强制下发: SELECT pg_catalog.set_config('search_path', '', false);
  • 物理结果强行将当前会话的默认 Schema 搜索路径清空为空字符串。 从这一微秒起,pg_dump 内部发出的所有 SQL 语句,必须显式带上 pg_catalog. 前缀(例如必须写 pg_catalog.upper())。这在物理层面上彻底切断了任何通过同名对象进行提权或注入的黑客攻击路径,构建了绝对隔离的执行沙盒。

补充三:网络字节流的 C 语言转码陷阱(Encoding 物理对齐)

  • 逻辑起因:数据库服务端的数据块(Data Page)是以 UTF-8 编码按二进制固化在磁盘上的。但客户端(你的跳板机或 Windows 电脑)的终端环境可能是 GBK 编码。
  • 底层动作(触发 CPU 转码中断): 如果在 pg_dump 时,内核发现服务端的 server_encoding 与客户端请求的 client_encoding 不一致。 服务端 Backend 进程在执行 COPY 吐出数据流时,绝对不能直接进行网络 Socket 发送。它必须在服务端的 CPU 内存中,对提取出来的每一个字符串,逐一调用底层的 C 语言转码函数(例如 pg_utf8_to_gbk)。
  • 物理结果与性能定性: 这种逐字节的转码计算,会瞬间吞噬数据库服务端极其宝贵的 CPU 算力(将纯粹的 I/O 密集型任务,强行变异为 CPU 密集型任务),导致生产环境 CPU 飙升。 高级 DBA 的工程铁律:在执行 pg_dump 时,必须通过设置环境变量 PGCLIENTENCODING=UTF8 等方式,强行保持客户端与服务端编码绝对一致,从而在底层绕过转码函数,实现纯粹的内存拷贝(memcpy)和极速网络 I/O 吐出。

了解 www.876873.xyz 的更多信息

订阅后即可通过电子邮件收到最新文章。

您可能还会对这些文章感兴趣!

pg_dump工具的工作原理:等您坐沙发呢!

发表评论