前言

CentOS 7 下 MySQL 5.7 配置 Percona Xtrabackup ，记录一下大致的安装和配置过程。

Percona XtraBackup 的备份工具支持热备份(即不必停止 MySQL 服务而进行备份)。热备份方式主要是通过文件系统级别的文件拷贝，当需要执行崩溃恢复时，可以实现数据集内的一致性。

参考文档使用的操作系统为 Ubuntu 16.04，本例将操作系统改为 CentOS 7，命令基本一致，主要示例一下数据库的全备份，增量备份以及数据恢复。

环境说明

CentOS 7(Minimal Install)

$ cat /etc/redhat-release

CentOS Linux release 7.3.1611 (Core)

MySQL 5.7

$ mysql --version

mysql Ver 14.14 Distrib 5.7.18, for Linux (x86_64) using EditLine wrapper

本系统初始有两个用户

超级管理员: root

管理组用户: admin，本例中 ${USER} 就是这个用户

安装 Percona Xtrabackup 工具

安装 yum 源

$ sudo yum install http://www.percona.com/downloads/percona-release/redhat/0.1-4/percona-release-0.1-4.noarch.rpm

查询一下安装包

$ sudo yum list | grep xtrabackup

percona-xtrabackup.x86_64 2.3.8-1.el7 percona-release-x86_64

percona-xtrabackup-22.x86_64 2.2.13-1.el7 percona-release-x86_64

percona-xtrabackup-22-debuginfo.x86_64 2.2.13-1.el7 percona-release-x86_64

percona-xtrabackup-24.x86_64 2.4.7-1.el7 percona-release-x86_64

percona-xtrabackup-24-debuginfo.x86_64 2.4.7-1.el7 percona-release-x86_64

percona-xtrabackup-debuginfo.x86_64 2.3.8-1.el7 percona-release-x86_64

percona-xtrabackup-test.x86_64 2.3.8-1.el7 percona-release-x86_64

percona-xtrabackup-test-22.x86_64 2.2.13-1.el7 percona-release-x86_64

percona-xtrabackup-test-24.x86_64 2.4.7-1.el7 percona-release-x86_64

安装 Xtrabackup 和 qpress 压缩工具。

$ sudo yum update

$ sudo yum install percona-xtrabackup-24 qpress

安装之后，innobackupex, xtrabackup, xbstream, 和 qpress 命令将可以使用，本例的脚本会使用这些命令进行数据的备份和恢复。

配置一个 MySQL 备份用户并且添加测试数据

首先使用 MySQL 的 root 用户登录。

$ mysql -u root -p

创建一个 MySQL 用户并且授权

在 MySQL 中创建一个用户名为 backup 的用户，并且分配备份的相关权限给它。

mysql> CREATE USER 'backup'@'localhost' IDENTIFIED BY 'password';

授予备份的相关权限

mysql> GRANT RELOAD, LOCK TABLES, REPLICATION CLIENT, CREATE TABLESPACE, PROCESS, SUPER, CREATE, INSERT, SELECT ON *.* TO 'backup'@'localhost';

mysql> FLUSH PRIVILEGES;

创建测试数据，创建一个 playground 的数据库，创建一个 equipment 的表，并且添加一条记录到这个表里。

mysql> CREATE DATABASE playground;

mysql> CREATE TABLE playground.equipment ( id INT NOT NULL AUTO_INCREMENT, type VARCHAR(50), quant INT, color VARCHAR(25), PRIMARY KEY(id));

mysql> INSERT INTO playground.equipment (type, quant, color) VALUES ("slide", 2, "blue");

此后我们将用这个数据库查看测试备份和恢复的效果。

mysql> SELECT * FROM playground.equipment;

+----+-------+-------+-------+

| id | type | quant | color |

+----+-------+-------+-------+

| 1 | slide | 2 | blue |

+----+-------+-------+-------+

1 row in set (0.00 sec)

在我们退出 MySQL 会话前，我们先检查一下 datadir 变量。因为我们还要创建一个操作系统的 backup 用户，而且这个需要有权限访问这个目录。

mysql> SELECT @@datadir;

+-----------------+

| @@datadir |

+-----------------+

| /var/lib/mysql/ |

+-----------------+

1 row in set (0.00 sec)

记住这个目录，现在可以退出 MySQL 了。

mysql> exit

Bye

配置操作系统的备份用户并授权

创建 backup 用户，不需要登录系统，没有 home 目录

$ sudo useradd -M -s /sbin/nologin backup

确认一下 backup 用户和组

$ grep backup /etc/passwd /etc/group

/etc/passwd:backup:x:1001:1001::/home/backup:/sbin/nologin

/etc/group:backup:x:1001:

MySQL 的数据目录 /var/lib/mysql 的所有者和所有组是 mysql。

我们需要将 backup 加入到 mysql 组里，这样 backup 就可以访问 mysql 组的目录和文件。

我们需要将 sudo 加入到 backup 组里，这样我们就可以访问 backup 用户和组权限的目录和文件。

命令执行如下

$ sudo usermod -aG mysql backup

$ sudo usermod -aG backup ${USER}

此时我们再检查一下 backup 的组

$ grep backup /etc/group

mysql:x:27:backup

backup:x:1001:admin

新加入的组不会立即生效，需要执行如下命令

$ exec su - ${USER}

执行之后，可以使用如下命令确认

$ id -nG

admin wheel backup

注意： admin 是 admin 的组，wheel 是 CentOS 默认的 sudo 组，backup 是新增的 mysql 备份的组。

创建备份相关的资源

现在我们已经有了 Mysql 用户 backup, 系统用户 backup，我们需要创建配置文件，密钥文件和其他脚本，这样我们就可以创建并保护备份的安全。

创建 MySQL 备份的配置文件

我们将 MySQL 备份用户 backup 的用户名和密码放到配置中。

$ sudo mkdir /etc/mysql

$ sudo vi /etc/mysql/backup.cnf

加入如下内容：

[client]

user=backup

password=password

保存并退出 :wq，这样 MySQL 的配置文件就创建完毕，以后备份用户就会使用这个文件的配置登录 MySQL ，注意 password=password 这个密码是 MySQL 里面的用户 backup 的密码。

创建备份的根目录

本例使用 /backups/mysql 为备份文件的根目录，使用如下命令创建：

$ sudo mkdir -p /backups/mysql

对这个目录的所有者和所有组进行分配, 所有者为 backup，所有组为 mysql

$ sudo chown backup:mysql /backups/mysql

CentOS 7 默认启用了 SELinux，这也需要进行授权，可以先查看一下

$ ls -lh -Zd /backups/mysql/

drwxr-x--x. backup mysql unconfined_u:object_r:var_lib_t:s0 /backups/mysql/

授权命令如下: 只更改类型即可

$ sudo chcon -R -u system_u -t mysqld_db_t /backups/mysql/

查看一下

$ ls -lh -Zd /backups/mysql/

drwxr-x--x. backup mysql system_u:object_r:mysqld_db_t:s0 /backups/mysql/

此时，SELinux 授权完成。

这样 backup 用户就可以进入并操作这个目录了

创建密钥保护备份文件安全

因为数据库文件是非常重要的文件，所以安全非常重要。 innobackupex 工具提供了加密和解密的功能。为此，我们只需要提供一个密钥即可。

我们使用 openssl 命令来创建一个密钥

$ printf '%s' "$(openssl rand -base64 24)" | sudo tee /backups/mysql/encryption_key && echo

修改这个文件的权限，保证这个文件只能 backup 用户可以使用。

$ sudo chown backup:backup /backups/mysql/encryption_key

$ sudo chmod 600 /backups/mysql/encryption_key

创建备份和恢复的脚本

目前安全方面的准备已经完成，我们需要创建 3 个脚本，来执行备份(加密备份)，释放(解密)和恢复准备的工作。

backup-mysql.sh: 这个脚本完成备份数据库，对备份的文件进行加密和压缩，他会根据日期创建全量和增量的备份，默认保存 3 天的备份。

extract-mysql.sh: 这个脚本会解压并解密备份文件，并将文件放到指定的文件夹中。

prepare-mysql.sh: 这个脚本为恢复做最后的准备，将增量文件合并到全备份中。并且记录执行的日志，如果这个脚本执行完，那么剩下的就是将恢复的数据库替换即可。

创建 backup-mysql.sh 脚本

$ sudo vi /usr/local/bin/backup-mysql.sh

脚本内容如下：

#!/bin/bash

export LC_ALL=C

days_of_backups=3 # Must be less than 7

backup_owner="backup"

parent_dir="/backups/mysql"

defaults_file="/etc/mysql/backup.cnf"

todays_dir="${parent_dir}/$(date +%a)"

log_file="${todays_dir}/backup-progress.log"

encryption_key_file="${parent_dir}/encryption_key"

now="$(date +%m-%d-%Y_%H-%M-%S)"

processors="$(nproc --all)"

# Use this to echo to standard error

error () {

printf "%s: %s\n" "$(basename "${BASH_SOURCE}")" "${1}" >&2

exit 1

}

trap 'error "An unexpected error occurred."' ERR

sanity_check () {

# Check user running the script

if [ "$USER" != "$backup_owner" ]; then

error "Script can only be run as the \"$backup_owner\"user"

fi

# Check whether the encryption key file is available

if [ ! -r "${encryption_key_file}" ]; then

error "Cannot read encryption key at ${encryption_key_file}"

fi

}

set_options () {

# List the innobackupex arguments

#declare -ga innobackupex_args=(

innobackupex_args=(

"--defaults-file=${defaults_file}"

"--extra-lsndir=${todays_dir}"

"--compress"

"--stream=xbstream"

"--encrypt=AES256"

"--encrypt-key-file=${encryption_key_file}"

"--parallel=${processors}"

"--compress-threads=${processors}"

"--encrypt-threads=${processors}"

"--slave-info"

"--incremental"

)

backup_type="full"

# Add option to read LSN (log sequence number) if a full backup has been

# taken today.

if grep -q -s "to_lsn" "${todays_dir}/xtrabackup_checkpoints"; then

backup_type="incremental"

lsn=$(awk '/to_lsn/ {print $3;}' "${todays_dir}/xtrabackup_checkpoints")

innobackupex_args+=( "--incremental-lsn=${lsn}" )

fi

}

rotate_old () {

# Remove the oldest backup in rotation

day_dir_to_remove="${parent_dir}/$(date --date="${days_of_backups}days ago" +%a)"

if [ -d "${day_dir_to_remove}" ]; then

rm -rf "${day_dir_to_remove}"

fi

}

take_backup () {

# Make sure today's backup directory is available and take the actual backup

mkdir -p