Citus数据库升级过程中的分布式事务恢复死锁问题分析

问题背景

在Citus分布式PostgreSQL数据库的升级过程中，特别是在执行某些特定版本的升级脚本时，可能会遇到与分布式事务恢复机制相关的死锁问题。这个问题主要出现在需要获取强锁的升级路径中，例如从11.2-2版本升级到11.3-1版本时。

死锁产生的具体场景

该问题涉及两个关键系统表：pg_dist_transaction和pg_dist_authinfo，以及两个并发操作：事务恢复进程和数据库升级脚本。

死锁产生的详细步骤如下：

1. 事务恢复进程首先获取pg_dist_transaction表的RowExclusiveLock锁，并在整个事务期间保持该锁不释放。

2. 升级脚本同时尝试获取pg_dist_authinfo表的AccessExclusiveLock锁，以执行表结构变更操作。

3. 当事务恢复进程继续处理下一个worker节点时，会隐式尝试获取pg_dist_authinfo表的AccessShareLock锁。

4. 与此同时，升级脚本尝试获取pg_dist_transaction表的AccessExclusiveLock锁以执行另一个表结构变更。

这样就形成了一个典型的死锁环：升级脚本持有pg_dist_authinfo锁并等待pg_dist_transaction锁，而事务恢复进程持有pg_dist_transaction锁并等待pg_dist_authinfo锁。

系统影响

当这种死锁发生时，PostgreSQL会自动检测并取消其中一个进程以解决死锁。幸运的是，由于PostgreSQL在隐式事务块中执行升级脚本，这种取消通常不会导致数据库处于不一致状态，重试操作通常可以解决问题。

临时解决方案

在官方提供永久修复方案前，建议在升级过程中临时禁用两阶段提交(2PC)恢复机制：

-- 升级前禁用2PC恢复
ALTER SYSTEM SET citus.recover_2pc_interval TO -1;
SELECT pg_reload_conf();

-- 执行升级
ALTER EXTENSION citus UPDATE;

-- 升级后恢复2PC恢复
ALTER SYSTEM RESET citus.recover_2pc_interval;
SELECT pg_reload_conf();

未来修复方向

开发团队已经注意到这个问题，并计划在未来版本中提供更完善的解决方案。一旦修复方案确定，将会回滚之前添加的临时修复代码。当前只有main和release-13.0分支包含了临时修复代码。

技术启示

这个问题揭示了在分布式数据库系统中，后台维护进程(如事务恢复)与系统升级操作之间可能存在的复杂交互。在设计这类系统时，需要特别注意：

1. 锁获取的顺序和范围
2. 长时间运行的后台进程与管理操作的协调
3. 系统升级过程中的特殊处理机制

这种死锁场景也提醒我们，在分布式数据库环境中，即使是看似独立的子系统之间也可能通过共享资源产生意外的交互和依赖关系。