ProxySQL中MySQL从节点重启后丢失READ_ONLY标志的问题分析与解决方案

问题背景

在使用ProxySQL管理MySQL主从架构时，一个常见但危险的问题是：当从节点(reader)因故障重启后，可能会丢失READ_ONLY设置，导致ProxySQL错误地将其识别为可写节点(writer)。这种情况会导致写入操作被错误地路由到从节点，造成数据不一致甚至复制中断的严重后果。

问题重现与分析

在标准的主从复制架构中，我们通常会配置：

• 一个主节点(写入节点，READ_ONLY=OFF)
• 两个从节点(读取节点，READ_ONLY=ON)

当从节点发生重启时，可能出现以下问题流程：

1. 从节点正常运行时：READ_ONLY=ON，正常运行在reader hostgroup中
2. 从节点故障重启：MySQL服务停止，ProxySQL将其标记为OFFLINE
3. 从节点恢复服务：MySQL重新启动，但READ_ONLY参数恢复默认值OFF
4. ProxySQL检测：发现节点READ_ONLY=OFF，错误地将其加入writer hostgroup
5. 结果：写入流量被错误路由到从节点，导致数据不一致

现有解决方案的局限性

ProxySQL本身通过定期检查read_only变量来管理节点角色分配，但这种机制存在时间窗口问题：

1. 检测间隔：ProxySQL默认每1-3秒检查一次状态
2. 竞争条件：在两次检测之间，可能有写入操作被错误路由
3. 短暂故障：重启过程可能快于ProxySQL的检测周期

创新解决方案设计

为了解决这个问题，我们设计了一个基于UPTIME监控的增强方案，核心思路是：

1. 跟踪每个从节点的READ_ONLY状态和UPTIME值
2. 当检测到UPTIME减少(表示重启)且READ_ONLY=OFF时
3. 立即强制将节点设置为READ_ONLY=ON

技术实现细节

方案通过ProxySQL的Scheduler功能实现，主要包含以下组件：

1. 状态跟踪表：存储节点的历史状态信息

CREATE TABLE pmacontrol_keep_read_only (
    hostname VARCHAR NOT NULL,
    port INT NOT NULL DEFAULT 3306,
    read_only INT NOT NULL,
    uptime_now INT NOT NULL DEFAULT -1,
    uptime_previous INT NOT NULL DEFAULT -1,
    date_now datetime,
    date_previous datetime,
    PRIMARY KEY (hostname, port)
);

2. 监控脚本逻辑：

• 定期收集各节点的READ_ONLY和UPTIME值
• 比较当前值与历史值
• 当检测到UPTIME减少且READ_ONLY=OFF时，执行SET GLOBAL READ_ONLY=1

3. 执行流程：

# 1. 更新历史记录
UPDATE pmacontrol_keep_read_only SET uptime_previous=uptime_now;

# 2. 获取当前状态
SELECT READ_ONLY, UPTIME FROM mysql_servers;

# 3. 检测异常情况
SELECT hostname, port FROM pmacontrol_keep_read_only 
WHERE uptime_now < uptime_previous AND read_only=0 AND uptime_now < 60;

# 4. 修复异常节点
SET GLOBAL READ_ONLY=1;

实际测试与发现

在压力测试环境中，我们发现：

1. 常规情况下方案工作良好，能及时修复READ_ONLY状态
2. 在高并发场景下仍存在小概率竞争条件
3. ProxySQL自身的状态检测可能先于我们的修复脚本执行

改进建议与最佳实践

基于测试结果，我们建议：

1. 将检测脚本执行频率提高到每秒一次
2. 在MySQL配置中添加read_only=1到my.cnf，作为第二道防线
3. 考虑在ProxySQL核心代码中集成此功能
4. 对于关键业务，建议结合复制延迟监控和自动修复机制

总结

MySQL从节点重启后丢失READ_ONLY标志是一个具有破坏性但容易被忽视的问题。通过结合UPTIME监控和自动修复机制，我们可以显著降低风险。虽然现有方案在高并发环境下仍有改进空间，但它为ProxySQL用户提供了一个实用的保护层。对于生产环境，建议将此方案与配置硬化和监控告警结合使用，构建更健壮的数据库架构。