PostgreSQLは常に、クラスタのデータディレクトリ以下のpg_xlog/ディレクトリ内で先行書き込みログ(WAL)を管理しています。 このログはデータベースのデータファイルに行われた全ての変更を記述します。 このログは主にクラッシュ時の安全性を目的としています。 システムがクラッシュしたとしても、最後のチェックポイント以降に作成されたログ項目を"やり直し"することで、データベースを整合性を維持した状態にリストアすることができます。 しかし、この存在するログファイルを使用して、データベースのバックアップ用の第3の戦略が可能になりました。 ファイルシステムレベルのバックアップとWALファイルのバックアップを組み合わせるという戦略です。 復旧が必要ならば、バックアップをリストアし、その後にバックアップされたWALファイルをやり直すことで、現時点までのバックアップを生成できます。 管理者にとって、この方法はこれまで説明した方法よりかなり複雑になりますが、以下のような大きな利点が複数あります。
開始時点のバックアップは完全な整合状態である必要はありません。 そのバックアップ内の内部的な不整合はログのやり直しによって修正されます (これは、クラッシュからの復旧時に行われることと大きな違いはありません)。 ですので、ファイルシステムのスナップショット機能を必要としません。 単にtarなどのアーカイブツールが必要です。
WALファイルの並びを数に制限なく連ねてやり直せますので、単にWALファイルのアーカイブを続けることで連続したバックアップを達成できます。 これは、頻繁に完全なバックアップを行うことが困難な、大規模なデータベースでは特に価値があります。
WAL項目のやり直しを最後まで行わなければならないということはありません。 やり直しを任意の時点までで停止することができ、それにより、その時点までのデータベースの整合性を持ったスナップショットを得ることができます。 このような技術がポイントインタイムリカバリを補助するものであり、元となるベースバックアップの取得時点以降の任意の時点の状態にデータベースをリストアすることが可能になります。
連続的に一連のWALファイルを、同一のベースバックアップをロードしている別のマシンに配送することで、"ウォームスタンバイ"システムを保有することができます。 つまり、任意の時点でその2番目のマシンを、ほぼ現時点のデータベースの複製を持った状態で有効にすることができます。
通常のファイルシステムバックアップ技術の場合と同様、この方法は、一部ではなく、データベースクラスタ全体のリストア処理のみをサポートできます。 また、アーカイブ用に大量の格納領域を必要とします。 ベースバックアップはかさばる場合があり、また、高負荷なシステムではアーカイブしなければならないWALの流量をメガバイト単位で生成します。 しかし、これは、高信頼性が必要な、多くの状況でむしろ好まれるバックアップ手法です。
継続的アーカイブ(多くのデータベースベンダで"オンラインバックアップ"とも呼ばれます)を使用して復旧を成功させるためには、少なくともバックアップの開始時点まで遡る、連続した一連のアーカイブ済みWALファイルが必要です。 ですので、運用するためには、最初のベースバックアップを取得する前にWALファイルをアーカイブする手順を設定し試験しなければなりません。 したがって、まずWALファイルのアーカイブ機構について説明します。
理論上、PostgreSQLシステムの稼動により、不定長のWAL記録の並びが生成されます。 システムは物理的にこの並びを、通常1つ16メガバイト(このセグメントサイズはPostgreSQLの構築時に変更可能です)の、WALセグメントファイルに分割します。 このセグメントファイルには、概念的なWALの並び内の位置を反映した、数字の名前が付与されます。 WALアーカイブを行わない場合、システムは通常数個のセグメントファイルを生成し、また、不要となったセグメントファイルの名前をより大きなセグメント番号に変更することでそれを"再回収"します。 直前のチェックポイントより前の内容を持つセグメントファイルは使用されないと仮定され、再回収されます。
WALデータをアーカイブする場合、完成したセグメントファイルのそれぞれの内容を取り出し、再利用のために回収される前にそのデータをどこかに保存することが必要です。 アプリケーションと利用できるハードウェアに依存しますが、数多くのの"データをどこかに保存する"方法があります。 例えば、NFSでマウントした他のマシンのディレクトリにセグメントファイルをコピーすること、あるいは、テープ装置に書き出すこと(元々のファイル名を識別する手段があることを確認してください)、それらを一度にまとめてCDに焼くこと、そのほか全く異なったなんらかの方法などです。 できる限り高い柔軟性をデータベース管理者に提供するために、PostgreSQLは、どのようにアーカイブがなされたかについて一切想定しないようになっています。 その代わりにPostgreSQLは、管理者に完全なセグメントファイルをどこか必要な場所にコピーするシェルコマンドを指定させます。 このコマンドは単純なcpでも構いませんし、また、複雑なシェルスクリプトを呼び出しても構いません。 全て管理者に任されています。
WALアーカイブを有効にするにはarchive_mode 構成パラメータを on に設定し、 archive_command 構成パラメータで使用するシェルコマンドを指定します。 実行するには、これらの設定を postgresql.conf ファイルに常に置きます。 archive_command では、%pは全てアーカイブするファイルのパス名に置換され、%fは全てファイル名部分のみに置換されます。 (パス名は、サーバの現在の作業用ディレクトリ、つまり、クラスタのデータディレクトリから見て相対的なものです。) コマンド内に%文字自体を埋め込む必要があれば%%と記述してください。 最も簡単でよく使用されるコマンドは以下のようなものになります。
archive_command = 'cp -i %p /mnt/server/archivedir/%f </dev/null'
これは、アーカイブ可能なWALセグメントを/mnt/server/archivedirディレクトリにコピーします (これは一例です。推奨するものではなく、また、全てのプラットフォームで動作しない可能性があります)。%pおよび%fパラメータが置き換えられたあと、実行された実コマンドは以下のようになります。
cp -i pg_xlog/00000001000000A900000065 /mnt/server/archivedir/00000001000000A900000065 </dev/null
類似したコマンドがアーカイブされるそれぞれの新規ファイルに生成されます。
このアーカイブ用コマンドはPostgreSQLサーバを稼動させるユーザと同じ所有権で実行されます。 アーカイブされる一連のWALファイルには、実質、データベース内の全てが含まれていますので、アーカイブしたデータをのぞき見から確実に保護しなければならないでしょう。 例えば、グループや全員に読み込み権限を付与していないディレクトリにデータをアーカイブしてください。
アーカイブ用コマンドが成功した場合のみにゼロという終了ステータスを返すことが重要です。 PostgreSQLは、ゼロという結果に基づいて、そのファイルのアーカイブが成功したことを想定し、そのファイルを削除したり回収するかもしれません。 しかし、非ゼロのステータスは、PostgreSQLに対してファイルがアーカイブされなかったことを通知し、成功するまで定期的に再試行させます。
通常アーカイブ用コマンドは既存のアーカイブ済みファイルの上書きを行わないように設計されなければなりません。 これは、管理者のミス(例えば2つの異なるサーバの出力を同一のアーカイブ用ディレクトリに送信してしまうなど)といった場合からアーカイブ状況の整合性を保護するための安全策として重要です。 実際に既存のファイルを上書きしないこと、かつ、その場合に非ゼロのステータスを返すことを確認するために使用するアーカイブ用コマンドを試験することを勧めます。 一部のプラットフォームではcp -iがこれを正しく行うこと、他のプラットフォームでは行われないことがわかっています。 選択したコマンドだけではこうした状況を正しく扱えない場合は、アーカイブ済みファイルが既存かどうかを検査するコマンドを追加しなければなりません。 例えば、以下のようなコマンドは、ほとんどのUnix系のプラットフォームで正しく動作します。
archive_command = 'test ! -f .../%f && cp %p .../%f'
アーカイブ設定を設計する時には、操作者の介入が必要であったり、アーカイブ場所の容量不足の理由でアーカイブ用コマンドが繰り返し失敗した時にどうなるかを考慮してください。 例えば、オートチェンジャ機能のないテープに書き出している場合に発生する可能性があります。 テープが一杯になった場合、テープを交換するまでアーカイブを行うことができなくなります。 こうした状況を相応の早さで解消できるよう、適切に操作者に対しエラーや要求を確実に連絡できるようにしなければなりません。 この状況が解消するまで、WALセグメントファイルはpg_xlog/ディレクトリ内に格納され続けます。(pg_xlog/を含むファイルシステムがいっぱいになると、PostgreSQLはパニック停止します。以前のトランザクションは失われませんが、データベースはいくらかの容量を開放するまで使用できません。)
サーバのWALデータの生成に要する平均速度に追いついている限り、アーカイブ用コマンドの処理速度は重要ではありません。 アーカイブプロセスが多少遅れたとしても通常の操作は続けられます。 アーカイブ処理がかなり遅くれると、災害時に損失するデータの量が増加することになります。 また、これはpg_xlog/ディレクトリ内に多くのアーカイブ処理待ちのセグメントファイルが格納され、ディスク容量が不足する状況になる可能性があることを意味します。 アーカイブ処理が確実に意図通りに動作しているかを監視することを推奨します。
アーカイブ用コマンドを作成する時、アーカイブされるファイル名は最長64文字までで、ASCII文字と数字とドットのどんな組合せを使用しても構いません。 元の相対パス(%p)を記憶する必要はありませんが、ファイル名(%f)を記憶する必要はあります。
WALアーカイブによってPostgreSQLデータベースでなされた変更は全てリストアすることができますが、設定ファイルはSQL操作ではなく手作業で変更されますので、設定ファイル(postgresql.conf、pg_hba.conf、およびpg_ident.conf)になされた変更までリストアしないことに注意してください。 通常のファイルシステムバックアップ手続きでバックアップされる場所に設定ファイルを保持したい場合があります。 設定ファイルの設置場所を変更するには項18.2を参照してください。
アーカイブコマンドは完全なWALセグメントに対してのみ呼び出されます。 このため、サーバが少ししかWAL流量がない(処理を行わないなぎの期間がある)場合、トランザクションの完了とアーカイブ格納領域への安全な記録との間に長期にわたる遅延があることになります。 古い未アーカイブのデータをどうするかについて制限を付けるために、archive_timeoutを設定して、強制的にサーバを新しいWALセグメントにある程度の間隔で切り替えるようにすることができます。 強制切り替えにより早期に閉ざされたアーカイブ済みファイルは完全に完了したファイルと同じ大きさを持つことに注意してください。 そのため、非常に小さなarchive_timeoutを使用することはお勧めしません。 格納領域を膨張させてしまいます。 通常ならば分単位のarchive_timeout設定が合理的です。
終わったばかりのトランザクションをできるだけ早くアーカイブさせたい場合、pg_switch_xlog
を使用して手作業でセグメント切り替えを強制することができます。
この他のWAL管理に関連した関数を表9-56に列挙します。
archive_modeがoffの場合、項14.4.7に書かれているように、いくつかのSQLコマンドはWALロギングを回避するため最適化されます。アーカイビングがこれら構文の1つを実行中に作動させられると、アーカイブ復旧のための十分な情報をWALが含まなくなります。(クラッシュ復旧は影響を受けません。)このことにより、archive_modeはサーバの起動時のみ変更可能です。とは言っても、archive_commandは構成ファイルを再読み込みすることで変更できます。一時的にアーカイビングを停止したい場合、たった1つの方法はarchive_commandを空文字列('')に設定することです。このようにすると、動作するarchive_commandが再構築されるまでWALファイルはpg_xlog/に蓄積します。
ベースバックアップの作成手順は比較的簡単です。
WALアーカイブが有効であり、正常に動作することを確認してください。
データベースにスーパーユーザとして接続し、以下のコマンドを発行してください。
SELECT pg_start_backup('label');
ここでlabelは、バックアップ操作を一意に識別するために使用する任意の文字列です
(推奨方法は、格納先のバックアップダンプファイルの完全パスを使用することです)。
pg_start_backup
は、バックアップ情報を持つbackup_labelという名前のバックアップラベルファイルを、クラスタディレクトリ内に作成します。
このコマンドを実行した時にクラスタ内のどのデータベースに接続したのかは注意する必要はありません。 この関数が返す結果は無視できますが、エラーが発生した場合は作業を進める前に対応してください。
デフォルトで、pg_start_backup
は終了までに長い時間がかかる場合があります。その理由はあるチェックポイントを実行し、そして、デフォルトでは設定したチェックポイント間隔の半分である、そのチェックポイントに必要なI/Oがかなりの時間にわたって広がるためです(設定パラメータについてはcheckpoint_completion_targetを参照してください)。通常これは、問い合わせ処理における影響を極小化するので望ましいことです。単にバックアップをなるべく早く行いたいのであれば、以下を使用します。
SELECT pg_start_backup('label', true);
これはチェックポイントをできる限り早く行うよう強制します。
tarやcpioなどの使い慣れた任意のファイルシステムバックアップツールを使用して、バックアップを実行してください。 この作業時に、データベースの通常の操作を停止することは不要ですし、望ましい方法でもありません。
再度、スーパーユーザとしてデータベースに接続し、以下のコマンドを発行してください。
SELECT pg_stop_backup();
これはバックアップモードを終了し、次のWALセグメントへの自動切換えを行います。 この切り替えの理由は、バックアップ期間中に書き出された最後のWALファイルがすぐにアーカイブできるよう準備することです。
バックアップ間で使用されたWALセグメントファイルがアーカイブされれば完了です。pg_stop_backup
の結果で識別されるファイルは、バックアップファイル一式を完結させるのに必要となる最終セグメントです。pg_stop_backup
は最終セグメントがアーカイブされるまで戻りません。
すでにarchive_commandを設定していますので、これらのファイルのアーカイブ操作は自動的に発生します。ほとんどの場合、これは瞬時に行われます。しかし、バックアップの完了を確認できるよう、アーカイブシステムを監視し、遅延が無いことの確認をお勧めします。
アーカイブコマンドの失敗によりアーカイブ処理が遅れてしまったとしても、アーカイブが成功し、そしてバックアップが完了するまで再試行を繰り返すようになっています。
pg_stop_backup
実行においての時間期限を設けたい場合、適切なstatement_timeoutの値を設定してください。
使用したいと思っているいくつかのバックアップツールは複写している途中でファイルが変更されると警告もしくはエラーを報告するかも知れません。この情況は正常で、稼働しているデータベースのベースバックアップを取っている場合はエラーではありません。ですから、この種の警告と本当のエラーとをどう区別するかの確信が必要です。例えば、rsyncのバージョンによっては"消滅したソースファイル"に対して別の退出コードを返し、そしてこの退出コードをエラーではないと受け付けるするドライバスクリプトを記述することができます。同時にGNU tarのバージョンによっては、tarがそれを複写していた途中でファイルが切り詰められると、致命的エラーと識別できないエラーコードを返します。ありがたいことに、GNU tarのバージョン1.16もしくはそれ以降では、バックアップ中にファイルが変更されると1で、それ以外のエラーの時は2でプログラムから抜けます。
pg_start_backup
から実際のバックアップの開始時刻までの経過時間やバックアップの終了時刻からpg_stop_backup
までの経過時間は特に気にする必要はありません。
数分の遅れは何も問題ありません。
(しかし、通常full_page_writesを無効にしてサーバを稼動している場合、バックアップモードではfull_page_writesが実質的に強制されていますので、pg_start_backup
からpg_stop_backup
までの間の性能劣化に気が付くでしょう。)
しかし、これらの操作を順番に、重なることなく実施することについて十分に注意する必要があります。
さもないと、バックアップを台無しにしてしまいます。
バックアップダンプに、データベースクラスタディレクトリ(例えば/usr/local/pgsql/data)以下にある全てのファイルが含まれていることを確認してください。 このディレクトリ以下に存在しないテーブル空間を使用している場合、注意して、同様にそれらを含めてください (そして、バックアップダンプがリンクとしてシンボリックリンクをアーカイブしていることを確認してください。 さもないとリストアはテーブル空間を台なしにしてしまいます)。
しかし、クラスタディレクトリのpg_xlog/サブディレクトリにあるファイルをバックアップダンプから省くことができます。 これは多少面倒ですが、リストア処理中の失敗の危険性を低減できますので、行う価値があります。 pg_xlog/がクラスタディレクトリ外のどこかを指し示すシンボリックリンクの場合は調整が簡単です。 これは性能上の理由でよく使用される設定です。
このバックアップを使用したいと思ったら、バックアップの実行期間とそれ以降に生成された全てのWALセグメントファイルをまず取っておかなければなりません。
これを手伝うために、pg_stop_backup
関数はバックアップ履歴ファイルを生成し、WALアーカイブ領域に保存します。
このファイルの名前は、バックアップを使用可能にするためにアーカイブしなければならない最初のWALセグメントファイルにちなんで付けられます。
例えば、最初のWALファイルが0000000100001234000055CDの場合、バックアップ履歴ファイルは0000000100001234000055CD.007C9330.backupといった名前になります。
(このファイル名の2番目の番号はWALファイル内の正確な位置を示し、これは通常無視できます。)
バックアップの期間(バックアップ履歴ファイルで指定されたように)に使用された、ファイルシステムバックアップとWALセグメントファイルを安全にアーカイブした後、数値的に小さい名前を持つWALセグメントは、ファイルシステムバックアップの回復にもう必要がないので、削除できます。
とは言っても、データが回復できることを完全に保証するため、いくつかのバックアップセットの保存を検討すべきでしょう。
バックアップ履歴ファイルは小さなテキストファイルです。それにはpg_start_backup
に与えたラベル文字列と、バックアップ開始と終了の時刻とWALセグメントが入っています。関連付けられたダンプファイルが何処に保管されたかを特定するためラベルを使用するとすれば、どのダンプファイルをリストアするかを行うにはアーカイブされた履歴ファイルからで充分です。
最後のベースバックアップまで遡ることができる全てのアーカイブ済みWALファイルを保持する必要がありますので、ベースバックアップの実行間隔は通常、アーカイブ済みWALファイルを格納する領域をどれだけ拡張したいかによって決定されます。 また、復旧処理に費すことができる時間がどの位許されるかについても考慮しなければなりません。 復旧が必要になった時に、システムはこれらのセグメントを全てやり直しする必要がありますが、最後のベースバックアップからの経過時間が長ければその分やり直しに時間がかかります。
また、pg_start_backup
関数がデータベースクラスタディレクトリ内にbackup_labelという名前のファイルを作成することに注意してください。
これは、その後、pg_stop_backup
によって削除されます。
当然ながら、このファイルはバックアップダンプファイルの一部としてアーカイブされます。
バックアップラベルファイルには、pg_start_backup
に付与したラベル文字列とpg_start_backup
が実行された時刻、最初のWALファイルの名前が含まれます。
したがって、当惑した時にバックアップダンプファイルの中身を検索し、そのダンプファイルがどのバックアップセッションに由来したものかを確認することができます。
サーバが停止している時にバックアップダンプを作成することも可能です。
この場合、わかりきったことですが、pg_start_backup
やpg_stop_backup
を使用することができません。
そのため、どのバックアップダンプが、どのWALファイルと関連し、どこまで戻せばよいかを独自の方法で残さなければなりません。
通常は、上述の継続的アーカイブ手順に従う方をお勧めします。
さて、最悪の事態が発生し、バックアップから復旧する必要が出てきたものとします。 以下にその手順を説明します。
もし稼動しているのであればサーバを停止してください。
もし容量があるのであれば、後で必要になる場合に備えてクラスタデータディレクトリ全体とテーブル空間を全て一時的な場所にコピーしてください。 この予防措置は、既存のデータベースを2つ分保持できるだけの空き領域を必要とします。 十分な領域がない場合でも、少なくともクラスタデータディレクトリ以下のpg_xlogディレクトリの内容だけはコピーしなければなりません。 ここには、システムが停止する前にアーカイブされなかったログファイルが含まれているかも知れないからです。
クラスタデータディレクトリ以下、および、使用中のテーブル空間の最上位ディレクトリ以下にある既存の全てのファイルとサブディレクトリを削除してください。
ベースバックアップからデータベースファイルをリストアします。ファイルが正しい所有権(rootではなくデータベースシステムユーザです!)でリストアされていることを確認してください。テーブル空間を使用している場合は、pg_tblspc/内のシンボリックリンクが正しくリストアされていることを検証する必要があります。
pg_xlog/内にあるファイルを全て削除してください。 これらはバックアップダンプから生成されたものであり、おそらく現在のものより古く使用できないものです。 pg_xlog/をまったくアーカイブしていなければ、以前そのようにして設定したことがあれば、シンボリックリンクとして再構築することを確実にすることに注意し、再作成してください。
手順2で退避させた未アーカイブのWALセグメントファイルがあるのであれば、pg_xlog/にコピーしてください (問題が発生し、初めからやり直さなければならない場合に未変更のファイルが残るように、移動させるのではなくコピーすることが最善です)。
復旧コマンドファイルrecovery.conf(Recovery Settingsを参照)をクラスタデータディレクトリに作成してください。 また、一時的にpg_hba.confを編集し、復旧完了を確認できるまで一般ユーザが接続できないようにする必要があるかもしれません。
サーバを起動してください。 サーバは復旧モードに入り、必要なアーカイブ済みWALファイル群の読み込みを行います。 外部的なエラーにより復旧が中断したら、サーバを単に再起動させて、復旧処理を継続してください。 復旧処理が完了したら、(偶然にクラッシュしてしまったとしても再度復旧モードに入らないように)postmasterはrecovery.confの名前をrecovery.doneに変更します。 その後通常のデータベース操作を開始します。
データベースの内容を検査し、希望する時点まで復旧できていることを確認してください。 復旧できなかった場合は手順1に戻ってください。 全て問題なければ、ユーザが使用できるようにpg_hba.confを正常状態に戻してください。
ここで重要となるのは、復旧コマンドファイルを設定することです。 このファイルで、どのように復旧させたいのかやどこまで復旧させたいかを記述します。 recovery.conf.sample(通常はインストレーションのshare/ディレクトリに格納されています)を手本として使用することができます。 recovery.confで絶対に指定しなければならないことは、アーカイブ済みWALファイルセグメントからどのように戻すかをPostgreSQLに通知するrestore_commandです。 archive_command同様、これはシェルコマンド文字列です。 ここには、対象のログファイルの名前で置換される%fやログファイルのコピー先を示すパスで置換される%pを含めることができます。 (パス名は現在の作業用ディレクトリ、つまり、クラスタのデータディレクトリから見た相対パスです。) コマンド内に%文字自体を埋め込む必要があれば%%と記載してください。 最も簡単でよく使われるコマンドは以下のようなものです。
restore_command = 'cp /mnt/server/archivedir/%f %p'
これは事前にアーカイブされたWALセグメントを/mnt/server/archivedirディレクトリからコピーします。 当然ながら、もっと複雑なもの使用することができます。 例えば、操作者に適切なテープをマウントさせることを要求するようなシェルスクリプトでさえ可能です。
このコマンドが失敗した時に非ゼロの終了ステータスを返すことが重要です。 このコマンドは、アーカイブに存在しないファイル要求するかもしれませんが、その場合でも非ゼロを返さなければなりません。 これはエラー状態ではありません。 必要なファイルの全てがWALセグメントファイルではありません。 .backup、または.historyが付いているファイルが要求されることを想定しなければなりません。 .backup、または.historyが付いているファイルに対しての要求を期待することもあるでしょう。同時に、%pパスのファイル名部分は%fと異なることに注意してください。これらが相互に置き換え可能であるとは考えないでください。
アーカイブ場所で見つけられなかったWALセグメントはpg_xlog/から検索されます。 これにより、最近の未アーカイブのセグメントを使用することができます。 しかし、アーカイブ場所から利用できるセグメントはpg_xlog/内のファイルよりも優先的に使用されます。 システムはアーカイブ済みファイルから取り出す時に既存のpg_xlog/の内容を上書きしません。
通常は利用可能な全てのWALセグメントを使用して復旧処理が行われます。その結果、データベースを現時点まで(もしくは、利用可能なWALセグメントで得られる限り現在に近い時点まで)リストアします。従って、通常の復旧は"file not found"メッセージで終了します。エラーメッセージの正確な文言はrestore_commandの選択によります。また、復旧の開始時点で00000001.historyのようなファイル名のエラーメッセージが出ることがあります。これも単純な復旧作業では不具合を意味するものでなく正常です。論議については項24.3.4を参照してください。
もし以前のある時点まで復旧させたい場合(例えば、経験不足のデータベース管理者が主トランザクションテーブルを消去した直前)、recovery.confに要求する停止時点を指定するだけです。停止時点は、"recovery target"として既知の停止時点で指定することも、日付と時刻で指定することも、完了した特定のトランザクションIDで指定することもできます。 本ドキュメントの執筆時点では使用するトランザクションIDの識別を補助するツールがありませんので、ほとんどの場合は日付と時刻による指定のみを使用することになるでしょう。
注意: 停止時点はバックアップの終了時刻、つまり、
pg_stop_backup
の最終時刻より後の時点でなければなりません。 バックアップを行っている最中に、ある時点までベースバックアップを使用して復旧させることはできません (こうした時点まで復旧させるには、その前のベースバックアップまで戻って、そこからロールフォワードしてください)。
復旧時にWALデータの破損がわかると、その時点までの復旧を行いますが、サーバを起動させません。 こうした場合、"復旧対象"に破損時点より前の時点を指定することで、復旧処理が正常に完了できるよう、復旧プロセスを初めからやり直すことができます。 システムクラッシュなど外的理由により復旧処理が失敗した場合やWALアーカイブがアクセスできなくなった場合、復旧処理を単に再起動させることができます。 この場合は失敗した時点とほぼ同じところから再開します。 復旧処理の再起動は、次のような通常操作時のチェックポイント処理とほぼ同様に動作します。 サーバは定期的にすべての状態をディスクに強制し、再度スキャンする必要がない処理済みのWALデータを示すpg_controlファイルを更新します。
以下の設定は、recovery.confでのみ設定可能であり、リカバリ期間にのみ適用されます。 これは、その後に行う実行するリカバリごとに再設定しなければなりません。 リカバリが始まった後に変更することはできません。
WALファイル群のアーカイブ済みセグメントを取り出すために実行するシェルコマンドです。 このパラメータは必須です。 文字列中の%fは全てアーカイブ場所から取り出すファイル名で置き換えられ、%pは全てサーバ上のコピー先のパス名で置き換えられます。 (パス名は現在の作業用ディレクトリ、つまり、クラスタのデータディレクトリから見た相対パスです。) 全ての%rは最後の有効な開始点を含むファイル名で置き換えられます。それは、リストアを再開始可能にするために保存しておかなければならない一番古いファイルです。 と言うことは、この情報を現在のリストアから再開始を行わせるのに最小限必要な所までアーカイブを切り詰めるのに流用できます。 %rは通常ウォームスタンバイ設定に使用できると言うことになります(項24.4を参照ください)。 コマンド内に%文字そのものを埋め込むには%%と記述してください。
このコマンドで重要な点は、成功した場合にのみ「ゼロ」の終了ステータスを返すことです。 このコマンドはアーカイブ場所に存在しないファイル名を問い合わせることがあります。 問い合わせがある場合は非ゼロを返さなければなりません。 以下に例を示します。
restore_command = 'cp /mnt/server/archivedir/%f "%p"' restore_command = 'copy "C:\\server\\archivedir\\%f" "%p"' # Windows の場合
このパラメータはリカバリの最後にだけ、1回実行されるシェルコマンドを指定します。 recovery_end_commandの目的はレプリケーション、またはリカバリに引き続いての掃除の機構を提供することです。全ての%rは最終の有効なリスタートポイントを含んだファイル名で交換されます。それはリストアをリスタートさせることができるようにするため保存されなくてはならない一番古いファイルです。 と言うことは、この情報を現在のリストアから再開始を行わせるのに最小限必要な所までアーカイブを切り詰めるのに流用できます。 %rは通常ウォームスタンバイ設定に使用できると言うことになります(項24.4を参照ください)。 コマンド内に%文字そのものを埋め込むには%%と記述してください。
コマンドが非ゼロである終了状態を返すのであれば、WARNINGログメッセージが書きだされ、データベースはとにかく立ち上げに進みます。 例外として、コマンドがシグナルで停止された場合、データベースは起動しません。
このパラメータはリカバリ処理をどこまで行うかを示す時刻を指定します。 多くても1つのrecovery_target_timeとrecovery_target_xidを指定することができます。 デフォルトでは、WALログの終わりまでリカバリします。 また、正確な停止時点はrecovery_target_inclusiveによって変わります。
このパラメータはリカバリ処理をどこまで進めるかを示すトランザクションIDを指定します。 トランザクションIDはトランザクションの開始時に順番に割り当てられますが、トランザクションの終了はこの順序通りではないということに注意してください。 リカバリされるトランザクションは、指定したIDより前にコミットされたトランザクションです(オプションで指定したIDを含めることもできます)。 多くても1つのrecovery_target_xidとrecovery_target_timeを指定することができます。 デフォルトでは、WALログの終わりまでリカバリします。 また、正確な停止時点はrecovery_target_inclusiveによって変わります。
指定したリカバリ対象の直後で停止する(true)か、リカバリ対象の直前で停止する(false)かを指定します。 そのリカバリで指定されたrecovery_target_timeにもrecovery_target_xidにも適用されます。 これは、対象コミット時刻やIDに正確に一致したトランザクションをそのリカバリに含めるかどうかを示します。 デフォルトはtrueです。
どの時系列でリカバリを行うかを指定します。 デフォルトはベースバックアップを取得した時点と同じ時系列に従ってリカバリが行われます。 このパラメータは、ポイントインタイムリカバリの後に達した状態に戻さなければならないような複雑な再リカバリ時にのみ設定する必要があります。 詳細は項24.3.4を参照してください。
過去のある時点までデータベースを復旧できる機能は、SFのタイムトラベルやパラレルユニバース(ブラックホールの先の対の宇宙)に類似した、多少の複雑性があります。 例えば、データベースの元の履歴で、火曜日の夕方5:15PMに重要なテーブルを削除し、水曜日のお昼まで手違いに気が付かなかったとします。 慌てずに、バックアップを取り出して、火曜日の夕方5:14PMの時点にリストアし、データベースを起動させます。 データベース世界のこの履歴では、そのテーブルを削除していません。 しかし、後になって、結局これは大した問題ではなかったことがわかったと仮定すると、元の履歴における水曜日に朝の何時かにまで戻したいと考えました。 データベースは既に起動していますので、一連のWALセグメントファイルの一部は上書きされているかもしれません。 この場合、元に戻したい時点よりも未来の時点まで進んでしまっていますので、戻すことはできません。 ですので、本当ならば、ポイントインタイムで復旧させた後に生成された一連のWAL記録と元のデータベースの履歴において生成されたWAL記録とを区別する必要があります。
こうした問題を扱うためにPostgreSQLには時系列という概念があります。 アーカイブ復旧が完了したときはいつでも、その復旧後に生成されたWAL記録を識別するための新しい時系列が生成されます。 時系列ID番号はWALセグメントファイル名の一部です。 ですので、新しい時系列はこれまでの時系列で生成されたWALデータを上書きしません。 実際、多くの異なる時系列をアーカイブすることができます。 不要な機能と考えるかもしれませんが、命綱になることがしばしばあります。 どの時点まで復旧すればよいか確実でないといった状況を考えてみてください。 その時は、過去の履歴からの分岐点として最善の時点を見つけるために、試行錯誤して何度もポイントインタイムの復旧を行う必要があるでしょう。 時系列がないと、この手続きはすぐに管理不能な混乱を招いてしまいます。 時系列を使用して、後で中断した時系列分岐における状態を含む、過去の任意の状態に復旧させることができます。
新しい時系列が生成される度に、PostgreSQLは、どの時系列がいつどこから分岐したかを示す"時系列履歴"ファイルを作成します。 この履歴ファイルは、複数の時系列を含むアーカイブ場所から復旧する時にシステムが正しいWALセグメントファイルを選択できるようにするために必要です。 したがって、履歴ファイルは、WALセグメントファイル同様にWALアーカイブ領域にアーカイブされます。 履歴ファイルは(巨大になるセグメントファイルとは異なり)単なる小さなテキストファイルですので、安価かつ適切に無期限で保管できます。 必要ならば、履歴ファイルにコメントを追加し、この特定の時系列がどのように、なぜ生成されたかについて独自の注釈を付与することができます。 特にこうしたコメントは、実験の結果いくつもの時系列へのチケットがある場合に有用です。
復旧処理のデフォルトは、ベースバックアップが取得された時点の時系列と同一の時系列に沿った復旧です。 別の子時系列に沿って復旧させたい(つまり、復旧試行以降に生成されたある状態に戻りたい)場合はrecovery.confで対象の時系列IDを指定しなければなりません。 ベースバックアップより前に分岐した時系列に沿って復旧することはできません。
継続的アーカイブを構成するいくつかのヒントを以下にあげます。
スタンドアロンホットバックアップを形成するためPostgreSQLのバックアップ基盤を使用することができます。これらのバックアップはポイントインタイムリカバリに使用することはできないのですが、pg_dumpによるダンプよりバックアップとリストアが概してより速く行われます。(同時にpg_dumpのダンプよりより大きくなるので、場合によっては速度による利点が打ち消されます。)
スタンドアローンホットバックアップを準備するには、archive_modeをonにし、"switch file"が存在する場合のみアーカイブを行うようにarchive_commandを設定します。例えば以下のようにします。
archive_command = 'test ! -f /var/lib/pgsql/backup_in_progress || cp -i %p /var/lib/pgsql/archive/%f < /dev/null'
このコマンドは/var/lib/pgsql/backup_in_progressが存在する場合にアーカイブを行い、そうでなければ(PostgreSQLが無用のWALを再利用できるように)、戻りゼロのステータスを黙って返します。
この準備によって、バックアップは以下のようなスクリプトを使用して取得されます。
touch /var/lib/pgsql/backup_in_progress psql -c "select pg_start_backup('hot_backup');" tar -cf /var/lib/pgsql/backup.tar /var/lib/pgsql/data/ psql -c "select pg_stop_backup();" rm /var/lib/pgsql/backup_in_progress tar -rf /var/lib/pgsql/backup.tar /var/lib/pgsql/archive/
完全なWALファイルのアーカイブが行われるように、切り替えファイル、/var/lib/pgsql/backup_in_progressが最初に作成されます。バックアップの後、切り替えファイルは削除されます。その後、アーカイブされたWALファイルは、基幹バックアップと全ての必要なWALファイル共に同じtarファイルの一部になるよう、バックアップに追加されます。バックアップスクリプトにエラー処理を加えておくことを思い出してください。
もしアーカイブストレージの容量が懸案事項であれば、pg_compresslog、 http://pglesslog.projects.postgresql.orgを不必要なfull_page_writesの削除とWALファイルからの追跡に使用してください。pg_compresslogの出力を更に圧縮するのにgzipを使用できます。
archive_command = 'pg_compresslog %p - | gzip > /var/lib/pgsql/archive/%f'
その結果、復旧中にgunzipとpg_decompresslogの使用が必要になります。
restore_command = 'gunzip < /mnt/server/archivedir/%f | pg_decompresslog - %p'
postgresql.confの記入事項が以下のように簡素となるため、多くの人がarchive_commandの定義にスクリプトの使用を選択します。
archive_command = 'local_backup_script.sh'
アーカイブ処理手順において単一ではなくそれ以上の数のコマンドを使用したい場合はいつでも、別のスクリプトファイルの使用が推奨されます。そうするとスクリプト内で全ての複雑性が管理されます。スクリプトはbashまたはperlのようなよくあるスクリプト言語で記載できます。スクリプトによってstderrに書き出される全てのメッセージはデータベースサーバログに現れるので、失敗に終わった場合、複雑な構成を容易に診断できるようになります。
スクリプト内で解決される要件の例として以下があります。
セキュアなオフサイトデータストレージへのデータのコピー
一回に全てではなく3時間毎に転送されるようにWALファイルのバッチ
その他のバックアップとリカバリーソフトウェアとのインターフェイス
エラー報告を行う監視ソフトとのインターフェイス
本ドキュメント作成時点では、継続的アーカイブ技術にいくつかの制限があります。 将来のリリースでは修正されるはずです。
ハッシュインデックスに対する操作は現在WALログに残りません。したがって、再生してもこれらのインデックスは更新されません。 推奨する回避策は、復旧処理が終わった後に手作業でそうしたインデックスそれぞれに対してREINDEXを行うことです。
もしもベースバックアップが行われている時、CREATE DATABASEコマンドが実行され、ベースバックアップが処理を実行している期間にCREATE DATABASEがコピーしているtemplateデータベースが変更されると、復旧処理はこれらの変更を作成されたデータベースにも同時に伝播させることは確実です。 もちろん、これは望まれる事ではありません。 この危険を回避するには、ベースバックアップ期間中にはすべてのtemplateデータベースを変更しないことが一番です。
CREATE TABLESPACEコマンドはリテラルの絶対パス付でWALにログが記録され、したがって、同じ絶対パスでのテーブル空間作成の時に再生されます。 これは、もしログが異なったマシン上で再生される場合には好ましくありません。 ログ再生がたとえ同一のマシンであっても、新規のデータディレクトリであれば危険です。 なぜなら、再生は元のテーブル空間の内容を上書きし続けるからです。 この種の潜在的な振舞いを防ぐためには、テーブル空間を作成もしくは削除後に新規ベースバックアップを行うのが最良の手段です。
また、デフォルトのWALフォーマットは数多くのディスクページのスナップショットを含んでいるため、かなりかさばるものになってしまっていることに触れておくべきでしょう。 これらのページスナップショットは、クラッシュから回復のために設計されています。 それというのも、回復処理の際には不完全に書き込まれているディスクページを修復しなければならないことがあるからです。 システムのハードウェアやソフトウェアによっては、不完全なディスクページの書き込みが起きてしまう危険性は無視してもよい程微小です。 この場合full_page_writesパラメータを設定してページスナップショットを無効にすることで、アーカイブされたログの総容量を大幅に縮小できます (実際に設定を行う前に、第28章の注意事項と警告を読んでください)。 ページスナップショットを無効にしても PITR処理の際にログが使用できなくなることはありません。 将来の課題は、full_page_writesがたとえオンになっている場合であっても不要なページを取り除き、アーカイブ済みWALデータの圧縮を行うことでしょう。 差し当たり管理者は、可能な限りチェックポイント間隔パラメータを大きくすることによって、WALに含まれるページスナップショットの数を削減することができます。