Amazon Aurora 数据库高可用及容灾白皮书-2024.07-33正式版

AmazonAurora高可用与容灾白皮书注意事项客户须根据实际业务情况酌情参考本文档中的信息。本文档：(a)仅供参考；(b)基于当前亚马逊云科技产品和用途。如有更改，恕不另行通知；(c)不代表亚马逊云科技及其附属公司、供应商或许可方作出任何承诺或保证。文中涉及的亚马逊云科技产品或服务均“按原样”，不包含任何形式的保证、陈述或条件，无论是明示还是暗示。亚马逊云科技对客户的责任和义务受双方协议约束，本文档与亚马逊云科技和客户之间签订的任何协议无关，亦不影响任何此类协议。©2024AmazonWebServices,Inc.或其附属公司保留所有权利2摘要与简

介摘要AmazonAurora是一款全托管的关系型数据库，提供超高性能、全球规模的可用性，并与

MySQL和

PostgreSQL完全兼容。AmazonAurora提供单区域和跨区域的高可用性

(HA)和容灾

(DR)能力。本白皮书探讨了

AmazonAurora提供的高可用性和容灾能力，展示了支撑构建具有韧性的全球化应用程序的设计模式，阐述了如何利用

AmazonAurora的多可用区

(AZ)部署和

GlobalDatabase（全球数据库）功能，以及如何在单个区域内和跨区域实现高可用性和容灾。您的架构是否符合良好架构原则？AmazonWell-ArchitectedFramework

可帮助您权衡在云端构建系统时所做决策的利弊。该框架的六大支柱助您在设计和运营可靠、安全、高效、经济实惠且可持续的系统时实现架构最佳实践。借助

AmazonWell-ArchitectedTool（可在亚马逊云科技管理控制台中免费使用），可以衡量针对每个支柱的系列问题，评估您的工作负载是否遵循这些最佳实践。在亚马逊云科技上的工作负载容灾：云端恢复白皮书中，我们描述了一套经客户验证的最佳实践，用于设计架构良好的容灾工作负载。如需获得更多关于云架构的专家指导和最佳实践资源（包括参考架构部署、图表和白皮书），请访问亚马逊云科技架构中心。4简

介AmazonAurora是完全兼容

MySQL和

PostgreSQL的关系型数据库管理系统

(RDBMS)。AmazonAurora能够以十分之一的成本提供媲美商业数据库的性能和可用性。AmazonAurora也是一款全托管数据库服务，可实现全自动化管理数据库，例如高可用性

(HA)、容灾

(DR)、复制、扩展、备份、恢复和监控。本白皮书将探讨

AmazonAurora的高可用性和容灾能力，以及如何利用常见的架构模式，在单个区域和多个区域实现高可用性和容灾。注意：除非另有说明，本白皮书涵盖

的所有特性、功能和架构模式均适用于

AmazonAuroraMySQL和

AmazonAuroraPostgreSQL。在探索

AmazonAurora的高可用性和容灾功能之前，让我们先理解高可用性和容灾的含义。5AmazonAurora架构及其高可用性和容灾功能分布式存储AmazonAurora架构从设计之初就考虑了高可用性和容灾能力。AmazonAurora的存储子系统是分布式的，专为

AmazonAurora量身打造。AmazonAurora采用六副本方式，同时在三个可用区复制新写入数据库的数据。即使在极少发生的整个可用区故障加上另一个可用区并发存储节点故障（AZ+1故障）的情况下，分布式存储仍能确保您的数据保持完整。这种分布式存储架构还能利用存储节点间的

peer-to-peer协议自动扩展和自我修复，比如应对节点故障和恢复丢失的数据库写入。7监控高可用性和容灾环境AmazonAurora提供多种可观察性工具，包括

AmazonCloudWatchLogs、增强监控和

AmazonRDSPerformanceInsights，用于监控数据库集群的运行状况、可用性和性能。监控单区域

Aurora数据库集群的关键

CloudWatch指标包括：AuroraReplicaLagCPUUtilizationDatabaseConnectionsNetworkThroughputNetworkTransmitThroughputNetworkReceiveThroughputStorageNetworkThroughputStorageNetworkTransmitThroughputStorageNetworkReceiveThroughput请参阅

AmazonAurora指标参考和监控工具，了解监控

AmazonAurora数据库集群的其他指标和工具。监控跨区数据库的关键CloudWatch指标包括：AuroraGlobalDBDataTransferBytesAuroraGlobalDBProgressLagAuroraGlobalDBReplicatedWriteIOAuroraGlobalDBReplicationLagAuroraGlobalDBRPOLag注意：AuroraGlobalDBRPOLag仅监测用户

transaction的延迟。AuroraGlobalDBProgressLag还监测了健康检查

transaction的延迟。因此，即便用户

transaction很少或者没有

transaction时，您也可以通过监测

AuroraGlobalDBProgressLag来查看健康检查

transaction的延迟，来诊断网络问题。此外，AmazonAuroraPostgreSQLGlobalDatabase还提供以下两个函数：aurora_global_db_status显示

GlobalDatabase的备数据库集群的延迟时间。aurora_global_db_instance_status列出主数据库集群和备数据库集群下的所有备数据库实例。请参阅监控

AmazonAuroraPostgreSQLGlobalDatabase了解如何使用这些函数的更多信息。13最佳实践指定

RTO和

RPO根据业务需求制定容灾策略。首先，为每个工作负载指定

RPO和

RTO。您可以进一步将工作负载分为不同层级，关键任务层级的工作负载有更严格的服务等级（如更低的

RTO和

RPO），而较低层级工作负载的限制条件则相应放宽，同时要考虑相关成本影响。请务必根据业务优先级设置

RTO和

RPO目标，因为更严格的恢复目标通常需要权衡取舍，比如更高的运营成本。制定与

RTO和

RPO相匹配的高可用性和容灾策略高可用性策略：创建多可用区

Aurora数据库集群，在单个区域内实现高度可用的Aurora数据库部署，由

AmazonAurora提供

99.99%（4个

9）的正常运行时间SLA保障。此外，您还可以添加

Aurora只读实例作为故障转移目标，在写入实例故障时随时接管工作负载。AmazonAurora自动管理故障转移过程。容灾策略：在确定

RTO和

RPO后，您需要设置与其相匹配的自动备份保留时间。自动备份的保留期限决定了您可以将

Aurora数据库集群还原到多久之前的时间点。默认情况下，AmazonAurora的自动备份保留时间为1天，但您可以将备份保留时间延长至

35天。保留期越长，可用于恢复的历史数据就越多，这直接影响

RTO。根据您的容灾策略，可能手动快照需要保留更长时间。此外，在不同的区域和账户中保存备份副本，可以提供额外的韧性保障。使用

Amazon

Backup

可简

化这一过程。AmazonBackup提供手动快照的生命周

期管理和集中式备份计划配置。15常见的高可用性和容灾使用场景与设计模式使用场景：多区域应用程序通过容灾区域实现读/写能力在备区域部署应用程序，除了能在多个区域为用户提供低延迟读取服务，备区域上的应用程序还可能向数据库写入数据。例如，写入转发功能可以允许远程用户将数据写入就近备区域中的只读实例，而无需直接写入主区域，这样可以降低全球分布式应用程序的延迟。设计模式：通过全球只读副本实现写入转发•使用

AmazonAuroraGlobalDatabase的容灾只读实例进行就近读取，根据用户距离选择就近实例，提升性能。这种情况下，备区域不仅仅是用于被动容灾。写入转发允许应用程序将写入操作指向本地的只读实例。这种直接写入方式能够透明地处理会话和事务上下文，确保写入与后续读取•之间的一致性。主数据库集群是权威数据源，其数据更改首先被保存到存储层，然后复制

AuroraGlobalDatabase的备集群。••这种架构允许将写入操作定向到您的

AuroraGlobalDatabase的任何远程集群，简

化了应用程序开发。17在打补丁、升级和重

大

Schema变更期间保持可用性计划内停机（通常由版本升级、打补丁和

Schema变更等维护任务所需）可能持续几分钟到几天不等。使用数据库副本执行这些任务，然后将生产流量切换至新提升的副本上，有助于减少停机时间。然而，复制设置、提升和切换过程可能很复杂，容易出错，特别是在大规模场景下。AmazonAurora蓝/绿部署提供托管式解决方案，极大简

化了复制流程。AmazonAurora蓝/绿部署••••AmazonAurora的蓝/绿部署功能支持创建与生产环境保持同步的预生产环境。生产环境（蓝环境）和预生产环境（绿环境）通过逻辑日志复制保持同步。绿环境可快速提升为生产环境，且不会丢失数据。切换期间会阻止对两个环境的写入，确保数据同步。将生产流量切换至新提升的绿环境通常会导致不到

1分钟的短暂停机，但根据实际工作负载情况，停机时长可能更长。切换完成后，蓝环境的名称和端点将分配给新提升的绿环境，无需对应用程序进行任何更改。26总结关系型数据库是高可用性应用程序的关键组件。作为高吞吐量的关系型数据库管理系统，AmazonAurora能够在云规模环境中保持数据的可用性和持久性。对于关键业务工作负载，可使用多可用区

AmazonAurora集群提高正常运行时间，缓解可用性事件的影响。AmazonAuroraGlobalDatabase进一步拓展了这一能力，支持全球分布式应用程序，实现最短的恢复时间目标

(RTO)、恢复点目标

(RPO)和跨区域低延迟读取，构建强大的容灾解决方案。有关

AmazonAurora更多详细信息，请参阅

AmazonAurora用户指南以及使用

AuroraGlobalDatabase。30贡献者对本文档做出贡献