当前位置: 首页 > postgresql, 锁模块 > 正文

重量级锁 再生产中遇到的故障,逻辑推导

pantsuel 发布于 2026-02-23 12:29postgresql, 锁模块24 次浏览抢沙发

真正到了千万级并发的工业生产环境里,数据库的故障从来不是“随机”发生的。每一个让业务瘫痪的 P0 级事故,只要顺着我们刚才推导的**“锁结构”“冲突矩阵”**的物理规则去盘逻辑,必然能推出唯一的结果。

我们现在就严格基于前面推导出的重量级锁底层铁律,一步步逻辑推演出生产环境中最致命的 4 大故障是怎么被硬生生“逼”出来的。

故障推演一:FIFO 队列雪崩(DDL 阻塞风暴)

【底层铁律】:重量级锁的等待队列(procLocks 链表)为了防止饥饿,严格遵循 FIFO(先进先出)原则。且第 8 级锁(AccessExclusiveLock)与包括 1 级读锁在内的所有锁绝对互斥。

【逻辑推导】

  1. 起因(业务常态):白天业务高峰期,某张核心大表上源源不断地有极其轻量的 SELECT 查询(申请 1 级锁)。这些查询极快,1 毫秒就结束。
  2. 导火索(DBA 介入):一个不知深浅的 DBA 或者自动化脚本,试图对这张大表执行 ALTER TABLE add column(申请 8 级锁)。
  3. 矩阵碰撞:8 级锁发现表上当前有 1 级锁,矩阵判定冲突。8 级锁被内核挂起,进入休眠等待队列,排在现有 SELECT 的后面
  4. 灾难放大(FIFO 规则显威):就在这几毫秒内,业务端又发来了几千个新的 SELECT 请求。
  5. 系统判定:内核一看,你要 1 级锁,这本来没问题。但是!它顺眼看了一下 waitMask(等待掩码),发现队列里有个 8 级锁正在排队。根据 FIFO 公平原则,这几千个新来的 SELECT,即使互相不冲突,也必须全部挂起,排在那个 8 级锁的屁股后面!

【生产表象】

在一瞬间,原本极速的查询全部卡死。前端页面的 Loading 转圈,应用服务器的数据库连接池在 3 秒内被彻底打满,抛出 Connection pool exhausted,全站熔断宕机。

而造成这一切的元凶,仅仅是因为一个在排队的 ALTER TABLE 堵住了大门。

故障推演二:“幽灵占坑”引发的无声瘫痪(长事务风暴)

【底层铁律】:重量级锁的生命周期与事务严格绑定。无论你加什么级别的锁,只要你不执行 COMMIT(提交)或 ROLLBACK(回滚),这把锁在共享内存(PROCLOCK 结构体)里永远不会被释放。

【逻辑推导】

  1. 起因(垃圾代码):研发写了一段包含外部调用的代码:开启事务 -> 执行 UPDATE(获取第 3 级锁) -> 发起一个极其缓慢的第三方 HTTP 接口请求 -> 提交事务。
  2. 导火索(网络超时):那个 HTTP 请求卡死了,一直没有返回。数据库端的这个事务就一直处于 idle in transaction(事务中空闲)状态。
  3. 灾难放大(锁的不死属性):这个幽灵进程什么都不干,也不消耗 CPU,但它手里死死攥着那把 3 级锁和底层的物理行锁。
  4. 系统判定:全网所有试图更新同一行的正常业务,在尝试获取该行的重量级事务锁时,全部发生冲突。这些正常业务一个个进入休眠队列挂起。

【生产表象】

你看监控图表,CPU 极低(因为都在睡觉),磁盘 I/O 极低,网络流量极低。整个系统看起来“岁月静好”,但业务大面积报错“请求超时”。中级 DBA 往往束手无策,因为监控上没有任何硬件瓶颈报警,这就是典型的“幽灵长事务占坑”。

故障推演三:物理图纸撑爆机房(OOM 共享内存耗尽)

【底层铁律】:为了实现极速查找和释放,每一个“进程-锁”的关系,都必须在静态预分配的共享内存中创建一个物理的 PROCLOCK 结构体。共享内存的大小在实例启动时就被 max_locks_per_transaction 参数锁死。

【逻辑推导】

  1. 起因(架构缺陷):业务采用按天分表(分区表),历史表已经累积了 10 年,总共 3650 张子表。
  2. 导火索(越界查询):数据分析师为了图省事,写了一句极差的统计 SQL,没有带任何时间条件,直接 SELECT COUNT(*) 扫了整张逻辑总表。
  3. 灾难放大(疯狂建桥):在极短的时间内,执行计划引擎为了保证全表一致性,必须向这 3650 张底层物理子表同时申请 1 级锁。
  4. 系统判定:内核瞬间在共享内存的哈希网里,为这一个查询硬生生分配和挂载了 3650 个 PROCLOCK 结构体。如果并发稍微高一点,十个分析师同时执行,瞬间就是 3 万多个结构体被创建。
  5. 物理崩溃:当创建的数量触碰到启动时预留的内存天花板时,系统发现无内存可分配。

【生产表象】

数据库核心日志里瞬间刷满致命报错:ERROR: out of shared memory,提示 You might need to increase max_locks_per_transaction。此时整个数据库实例拒绝任何新连接和加锁操作,处于半宕机自保状态。

故障推演四:死锁检测器的反噬(死锁斩首行动)

【底层铁律】:业务端写入 SQL 的顺序不可控,必然导致环形等待(A等B,B等A)。为了防止数据库被永久卡死,重量级锁自带一个独家核武器——死锁检测器(Deadlock Detector),但它极度消耗 CPU。

【逻辑推导】

  1. 起因(逻辑倒置)
    • 业务 A:先 UPDATE 表1,再 UPDATE 表2
    • 业务 B:先 UPDATE 表2,再 UPDATE 表1
  2. 导火索(时序巧合):两者同时发起。A 拿了表 1 的锁,等待表 2;B 拿了表 2 的锁,等待表 1。两人互相在对方的 waitMask 后面排队,进入死循环休眠。
  3. 灾难放大(内核兜底机制触发)
    • 内核有一条规则:如果一个进程等锁超过了 deadlock_timeout(默认 1 秒),就说明事情不对劲了。
    • 1 秒后,内核唤醒极其昂贵的死锁检测算法。它顺着内存里的 waitLock 指针,画出了一张全局的“等待有向图(Wait-For Graph)”。
  4. 系统判定(斩首行动):图论算法发现了一个闭环(Cycle)。内核立刻选出一个“牺牲者”(通常是事务 ID 较新的那个),极其冷酷地将它强行 ROLLBACK 杀掉,以解救另外一个事务。

【生产表象】

应用服务器的错误日志里出现明确的报错:ERROR: deadlock detected

如果是高并发下的复杂死锁(比如十几个事务连环死锁),死锁检测器在画有向图时会耗费大量的 CPU 算力。你会看到系统 CPU 会有规律地每隔 1 秒出现一次脉冲式飙升。

架构师的解题闭环

只要你把这四大推导逻辑摆在面试官面前,你展示的就不再是单纯的“背报错”,而是**“洞察系统物理极限”**的高级工程能力。

  • 针对 FIFO 雪崩 $\rightarrow$ DDL 必须加上 lock_timeout,拿不到瞬间放弃,绝不排队害人。
  • 针对 幽灵占坑 $\rightarrow$ 必须配置 idle_in_transaction_session_timeout,超时自动斩杀。
  • 针对 OOM 撑爆 $\rightarrow$ 必须在架构初期就根据分区表数量,调大 max_locks_per_transaction
  • 针对 死锁斩首 $\rightarrow$ 必须在代码评审阶段(Code Review),强制规范所有业务线“必须按相同的表顺序/主键顺序”进行更新操作。

了解 www.876873.xyz 的更多信息

订阅后即可通过电子邮件收到最新文章。

您可能还会对这些文章感兴趣!

重量级锁 再生产中遇到的故障,逻辑推导:等您坐沙发呢!

发表评论