不小心刪了公司資料庫，停機45分鐘來得及跑路嗎……

2024-02-25碼農

這本該是一個安靜的周六。

我收到來自支持團隊的訊息，說我們的一個客戶遇到問題。我判斷這個問題的重要程度很高，需要立即解決。15分鐘之後，我明確了問題來源——應該刪除資料庫中的一些損壞訂單。

這一操作聽起來小菜一碟，然而……

一、事故還原

如果你不在創業公司工作，請不要嘲笑我。

由於需要刪除的訂單有幾百個，所以我決定編寫一個簡單的 SQL 查詢語句，而不是手動操作（警告！）。

實際語句稍顯復雜，在此簡化為：

UPDATE ordersSET is_deleted = trueWHEREidin (1, 2, 3)

也許你已經猜到這場災難的影響範圍……

我按下 CTRL + Enter 並執行這條命令。耗時超過1秒時，我才醒悟過來， 客戶端 DBeaver 看到空的第三行，同時忽略了第四行 。

沒錯，我刪除了資料庫裏的全部訂單。

我感覺整個人都不好了。

二、恢復過程

深吸一口氣後，我意識到得快速行動起來，不能再犯錯誤浪費時間了。

好在恢復工作執行得很好。

停止系統——約 5 分鐘

建立變更前資料庫（幸運的是我們有 PITR）的複制——約 20 分鐘

在等待期間給老板打電話

根據複制更新生產資料庫的資訊*—— 15 分鐘

啟動系統——約 5 分鐘

*因為公司具備多個獨立系統，無法停止所有系統，所以我決定不還原整個資料庫，避免在恢復過程中遺失已完成的更改。公司使用 GCP （Google Cloud Platform，谷歌雲平台）提供的托管 PostgreSQL，所以我在更新前建立了新的複制，匯出複制中的 id 和 is_deleted 列，然後將結果匯入到生產資料庫中。隨後，使用簡單的 update + select 語句。

顯然，我本可以輕易避免這長達 45 分鐘的停機時間……

三、究竟發生了什麽？

整個事件聽起來是一個你永遠不會犯、愚不可及（甚至在大公司根本不允許犯）的錯誤。

沒錯， 問題根本不在於錯誤的 SQL 語句，人為的小過失從來都不是真正的問題 。我執行那條命令這一動作，只是整個事故鏈條的最後一環。

為什麽在周末處理生產環境？當時問題並不緊急，也沒有人要求我立刻修復故障，我本可以等到周一再處理。

誰會不先在 QA 環境上執行就貿然在生產資料庫中更改呢？

為什麽我不呼叫 API而選擇手動編輯？

如果沒有 API，為什麽我沒及時與同事溝通，對這一敏感操作雙重檢查？

最糟糕的是，為什麽我沒使用事務？ 其實只要用了 Begin語句，一旦出錯，使用 Rollback命令（回滾操作）就能解決。

錯誤環環相扣，但凡避免任何一個錯誤，都不可能發生事故。這些失誤都可以歸因於：我太自信了。

不過 好在有序的恢復程式阻止了事故連鎖反應 ，如果無法將資料庫恢復到正常狀態，我都不敢想象後果如何……

四、與車諾比事故有什麽關系？