双机热备到底能不能保证业务不中断？我用5年踩坑经验告诉你真相-平芜编程栈

双机热备到底能不能保证业务不中断？我用5年踩坑经验告诉你真相

如果你正在做系统架构设计，或者公司业务对停机时间敏感，你一定被问过这个问题：“上了双机热备，是不是服务器挂了也没事？” 我以前也天真地这么认为，直到在一次客户现场被现实狠狠抽了一耳光。

那是一家做电商的小公司，凌晨3点数据库服务器宕机，双机热备没切换成功。客户打电话过来的时候，我还在梦里，结果被骂了整整40分钟。从那以后，我才认真琢磨双机热备到底该怎么玩。这篇文章就是写给那些刚接触高可用架构、或者正在选型双机热备方案的朋友，我会把真实踩过的坑、测试过的数据、以及一些避坑经验全抖出来。

双机热备到底是个啥？

很多人以为双机热备就是两台机器，一台干活一台睡觉，出问题了自动切换。对，也不对。更准确地说，双机热备是一套让两台服务器互相监控、共享存储、并在主节点故障时自动切换服务的机制。它解决的核心问题只有一个：减少因单点故障导致的业务中断时间。

但这里有个关键点你必须记住：双机热备不等于数据不丢。它只能保证业务快速恢复，至于恢复后数据是不是最新的，得看你用的是同步模式还是异步模式。我之前碰到一个客户，用的是异步复制，主库挂了之后丢了大概30秒的订单数据，差点跟平台打起来。

双机热备的两种主流模式，我该选哪个？

双机热备在实现上主要有两种方式：共享存储模式和镜像模式。我分别说说它们的优缺点。

共享存储模式

这个模式说白了就是两台服务器共用一个存储（比如SAN或者NAS）。主服务器写数据到共享存储，备用服务器通过心跳线监控主服务器的状态。一旦主服务器挂了，备用服务器立刻接管共享存储，拉起服务。

优势：数据一致性极高，因为只有一份数据。劣势：共享存储本身就是单点，存储挂了全完蛋。我之前做一个金融项目，客户非要上共享存储双机热备，结果存储控制器烧了，两台服务器全傻眼，恢复花了6个小时，被监管通报了。

镜像模式

这种模式下，每台服务器都有自己的本地存储，通过备份软件或者操作系统级别的镜像功能（比如DRBD或者Windows的DFS）实时把数据同步到另一台。没有共享存储这个单点，可靠性理论上更高。

优势：没有共享存储瓶颈，两台机器物理隔离，一台机房一台办公室也能做。劣势：数据同步有延迟，异步模式下数据丢失风险高。我测试过一个开源方案，在千兆网络下做同步复制，每秒写入5000条订单，延迟大概在100毫秒左右。这个延迟对大部分业务可以接受，但如果是金融交易，100毫秒可能意味着几百笔订单的数据差异。

双机热备的切换时间到底有多快？

这个问题我被问过至少50次。大多数厂商宣传上说“秒级切换”，但实际落地时，我见过最慢的切换花了8分钟。为什么差距这么大？因为切换时间取决于3个因素：心跳检测机制、服务启动速度、数据一致性检查。

拿我最近用的一套方案来说，它用的是基于IP的虚拟VIP切换。主服务器挂了之后，备用服务器通过心跳线（一般是串口或者以太网）检测到失联，然后开始执行切换脚本。脚本里包括：卸载共享存储、挂载到本地、启动数据库、检查数据一致性、绑定VIP。这一套流程走下来，如果脚本写得烂，3分钟起步。

有次我做压力测试，模拟主服务器宕机，备用服务器切换花了25秒。这个数字看起来还行，但注意，这25秒内业务是完全中断的。如果你做的是实时聊天或者在线支付，25秒的空白足够让用户骂街了。所以双机热备不是零中断，而是“尽量短的中断”。如果你要求零中断，那得考虑集群或者多活架构，但那又是另一个故事了。

避坑提醒：双机热备最容易翻车的5个地方

我把自己和同行踩过的坑整理了一下，你如果正在做双机热备，这几点一定要检查。

1.心跳线不能只做一根。我见过一个案例，客户只用了单根以太网做心跳，结果交换机端口故障，两台服务器都以为对方挂了，同时抢夺VIP，导致网络风暴。至少要做两根心跳线，最好串口+以太网双路。

2.脚本测试不能只在白天跑。有次我凌晨2点做切换测试，结果发现备用服务器的数据库日志文件满了，切换直接失败。因为白天业务量小，日志增长慢，没人注意到。生产环境的双机热备，至少每月做一次真实切换测试，而且要选在业务高峰期之后。

3.共享存储的RAID级别不能选错。我见过有人用RAID0做双机热备的共享存储，结果一块盘坏了，整个存储挂掉，两台服务器全废。共享存储至少RAID10或者RAID6，别省那点钱。

4.备份软件和双机热备要分开。双机热备只解决高可用问题，不解决数据备份问题。我有个客户以为双机热备就等于数据安全，结果主库误删了一张表，双机热备直接把错误同步到备用服务器，数据全丢了。双机热备必须搭配独立的备份一体机或者备份软件，定期做全量和增量备份。我现在用的方案是，双机热备做主备切换，中科热备的备份一体机做每日全量备份，中科热备的备份软件做每小时增量备份。这样即使双机全挂，也能从备份一体机恢复数据。

5.脑裂问题必须提前处理。当两台服务器之间的心跳中断，但业务网络还通着，系统无法判断对方是否存活，就会都认为自己该接管服务。这就是脑裂。解决方法是引入仲裁机制，比如用第三方仲裁节点或者共享磁盘上的仲裁分区。我一般会在第三台机器上部署一个轻量的仲裁服务，优先级最低，一旦检测到脑裂，直接强制关闭其中一台。