一次线上事故,导致公司损失400万

最新推荐文章于 2024-08-21 11:24:33 发布
最新推荐文章于 2024-08-21 11:24:33 发布
阅读量196 收藏
点赞数
文章标签: bootstrap oracle 前端 html css
原文链接:https://mp.weixin.qq.com/s?__biz=MzA4MjIyNTY0MQ==&mid=2647746290&idx=1&sn=a338cdf74427b3c98e16baed25279530&chksm=87ad3674b0dabf62df6617cb6a621ca865452c49d759a55b8c335b00137bc364e592239e5705&scene=126&sessionid=0
版权
文章讲述了由于执行Redis的危险命令导致的线上事故,强调了规范操作的重要性。介绍了RedisScan作为安全的替代方案,并讨论了处理bigkey的策略,包括避免和删除方法,以及bigkey可能带来的问题。此外,还提到了阿里云的Redis开发规范和监控bigkey的方法。
摘要由CSDN通过智能技术生成

89beb2ccec35b3dae1054849a5495b1b.png

大家好,我是树哥。最近有小伙伴因为乱执行 Redis 扫描命令,导致了一个严重的线上事故。今天分享一篇关于 Redis Scan 的文章,让大家学习一下,避免再次发生类似事件。

一、 事故背景

顺丰高级开发工程师在线执行了 Redis 危险命令导致某公司损失 400 万

最近安全事故频发啊,前几天发生了《顺丰高级运维工程师的删库事件》,今天又看到了 PHP 工程师在线执行了 Redis 危险命令导致某公司损失 400 万。。

什么样的 Redis 命令会有如此威力,造成如此大的损失?

具体消息如下:

据云头条报道,某公司技术部发生 2 起本年度 PO 级特大事故,造成公司资金损失 400 万,原因如下:

由于 PHP 工程师直接操作上线 redis,执行 keys wxdb(此处省略)cf8 这样的命令,导致redis锁住,导致 CPU 飙升,引起所有支付链路卡住,等十几秒结束后,所有的请求流量全部挤压到了 rds 数据库中,使数据库产生了雪崩效应,发生了数据库宕机事件。

该公司表示,如再犯类似事故,将直接开除,并表示之后会逐步收回运维部各项权限。

一个命令损失数百万,这,需要赔偿吗?

代码不规范,同事两行泪,撸码需谨慎!

出于好奇考虑,我来测试一下,这到底是什么问题?

二、测试一下1000万数据的性能

1、编写脚本文件

写入1000万数据。

for((i=1;i<=10000000;i++)); do echo "set k$i 哪吒编程$i" >> /tmp/test1.txt;done;

通过/tmp/test1.txt查看一下是否写入成功。

7730fc4b477c0c3b57d3349a5281cdfd.png
2、写入Redis1000万数据
cat /tmp/test1.txt | redis-cli -a 111111 --pipe
3a2730e18398ae4399f7f06d8715463e.png
3、通过keys * 查看1000万数据
b291350d0749fde094159076b8d9606d.png
4、通过配置文件禁止keys *的使用

在redis.conf文件中配置security:

rename- command keys ""
  rename- command flushdb ""
  rename- command flushall ""

三、使用scan替代keys *

Redis Scan 命令用于迭代数据库中的数据库键。

SCAN 命令是一个基于游标的迭代器,每次被调用之后, 都会向用户返回一个新的游标, 用户在下次迭代时需要使用这个新游标作为 SCAN 命令的游标参数, 以此来延续之前的迭代过程。

SCAN 返回一个包含两个元素的数组, 第一个元素是用于进行下一次迭代的新游标, 而第二个元素则是一个数组, 这个数组中包含了所有被迭代的元素。如果新游标返回 0 表示迭代已结束。

scan语法:

SCAN cursor [MATCH pattern] [COUNT count]
e281615297617e2bbe9c8d7d0d68f186.png

四、拒绝bigkey

1、阿里云Redis开发规范

阿里云Redis开发规范中明确规定“拒绝bigkey(防止网卡流量、慢查询)”。

String类型控制在10KB以内,hash、list、set、zset元素个数不要超过5000。

2、出现bigkey时如何删除?

  1. String类型的用del删除。

  2. 其它类型使用hscan、sscan、zscan方式渐进式删除,同时要避免bigkey过期时间自动删除问题,因为它会造成主线程阻塞。

Hash 删除: hscan+hdel

public void delBigHash(String host, int port, String password, String bigHashKey) {
    Jedis jedis = new Jedis(host, port);
    if (password != null && !"".equals(password)) {
        jedis.auth(password);
    }
    ScanParams scanParams = new ScanParams().count(100);
    String cursor = "0";
    do {
        ScanResult<Entry<String, String>> scanResult = jedis.hscan(bigHashKey, cursor, scanParams);
        List<Entry<String, String>> entryList = scanResult.getResult();
        if (entryList != null && !entryList.isEmpty()) {
            for (Entry<String, String> entry : entryList) {
                jedis.hdel(bigHashKey, entry.getKey());
            }
        }
        cursor = scanResult.getStringCursor();
    } while (!"0".equals(cursor));
    
    //删除 bigkey
    jedis.del(bigHashKey);
}
3、bigkey会造成哪些问题?

  1. 内存不均,集群迁移困难;

  2. 超时删除,阻塞线程;

  3. 网络流量阻塞;

4、如何发现bigkey?

(1)通过redis-cli --bigkeys查找。

19bfc4b7d1bac049b46c6b3665b0e6cc.png

(2)计算每个键值的字节数,通过memory usage key查找

78df5465a7a9205fb8243c8001a5ae6b.png

推荐阅读

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《程序人生》记一次敖丙的线上P2事故1
08-03
"《程序人生》记一次敖丙的线上P2事故1" knowledge points: 1. 程序 BUG 的处理:文章中提到 P2 级别的 BUG,是指系统中出现的严重错误,需要立即修复,以避免更大的损失。 2. 线上事故处理:文章中提到线上事故...
35丨记一次线上SQL死锁事故:如何避免死锁?.html
08-11
35丨记一次线上SQL死锁事故:如何避免死锁?.html
Redis源码解析:keys不让用,scan小心坑
小识的博客
01-27 2244
介绍 SCAN 命令用于迭代当前数据库中的数据库键。 SSCAN 命令用于迭代集合键中的元素。 HSCAN 命令用于迭代哈希键中的键值对。 ZSCAN 命令用于迭代有序集合中的元素(包括元素成员和元素分值)。 intset和ziplist会返回所有的数据 参考博客 命令实现 [1]https://www.jianshu.com/p/be15dc89a3e8 scan详解 [2]http://redisdoc.com/database/scan.html#scan ...
一次 Scan 竟耗时上百秒?Redis Scan 原理解析与踩坑
探索云原生
01-15 6923
来自:指月 https://www.lixueduan.com 原文:https://www.lixueduan.com/post/redis/redis-scan/ 主要分析了 Redis Scan 命令基本使用和具体实现,包括 Count 参数与 Scan 总耗时的关系,以及核心的逆二进制迭代算法分析。 1. 概述 由于 Redis 是单线程在处理用户的命令,而 Keys 命令会一次性遍历所有 Key,于是在 命令执行过程中,无法执行其他命令。这就导致如果 Redis 中的 key 比较多,那么 K
踩坑记录 PHP实现 Redis使用SCAN 和 SSCAN(不要用scan!!!!!)
ljwaheng的博客
02-07 3805
PHP实现 Redis使用SCAN 和 SSCAN 因为大家都知道的原因 线上禁止使用keys smembers 命令。 所以用了scan 和 sscan命令获取redis中的值 //使用scan匹配all key if (!function_exists('scanAllForMatch')) { function scanAllForMatch($pattern, $cursor=null, $results=[]) { if ($cursor === "0").
Redis Scan命令踩坑笔记
bjmsb79的博客
07-25 620
大部分人在接触Redis时就都会了解到Redis是以单线程的形式处理用户命令,导致O(N)的命令有极大的几率会阻塞Redis,所以在使用Redis时需要放弃一些O(n)命令的使用,比如不要去使用KEYS命令而应该使用SCAN命令,然而SCAN命令也有一些坑。
Redis中scan命令踩坑,本文告诉你千别乱用!!不看后悔
程序员干货站
05-10 2451
原本以为自己对redis命令还蛮熟悉的,各种数据模型各种基于redis的骚操作。但是最近在使用redis的scan的命令式却踩了一个坑,顿时发觉自己原来对redis的游标理解的很有限。 公司因为redis服务器内存吃紧,需要删除一些无用的没有设置过期时间的key。大概有500多w的key。虽然key的数目听起来挺吓人。但是自己玩redis也有年头了,这种事还不是手到擒来? 当时想了下,具体方案是通过lua脚本来过滤出500w的key。然后进行删除动作。lua脚本在redis server上执行,执行速度快,
基于Java技术的线上生产事故案例集设计源码
05-27
本设计源码提供了一个基于Java技术的线上生产事故案例集,包含23个文件,其中包括11个java源文件,5个md文档,以及2个yml配置文件。此外,还有2个properties配置文件,1个gitignore文件和1个LICENSE文件。此外,还有...
一次线上学习心得体会参考.doc
09-15
这篇文档主要记录了一位学生在面对因新型冠状病毒引起的特殊情况下的线上学习体验和心得。以下是根据内容提炼出的相关知识点: 1. 线上学习:在传统课堂教育受到阻碍时,线上学习成为了一种有效的替代方式。学生...
记录一次线上处理5千数据转换的经验
03-23
刚来新公司2个月就面临了一次线上真实数据的转换,这些数据异常重要,对我们公司来说就是客户的资源,说白了就是客户存在我们公司的钱,一旦处理失败将会影响极大,可以想象一下你存 前言: 刚来新公司2个月就面临了一次...
redis之keys使用陷阱
我要上天
12-13 7176
众所周知,redis是单线程的数据库,相信很多童鞋会提出疑问,为什么单线程的,它的性能还是很高的呢,其实有两点 内存操作 io多路复用 这里只是抛砖引玉,说两个干货,具体的还请各位童鞋自行查看。今天我要说的就是keys这个命令的使用陷阱,作为程序员,我相信大家都知道对数据库的操作是很危险和很致命的。需要时刻保证警惕,前不久的“2018年9月19号顺丰发生了一起线上删库”的事情相信大家都有所耳闻...
基于redis实现分布式锁
DaleyZou的博客
11-19 149
背景 一套代码部署在四个服务器上,代码逻辑是:检查当前表的总数据条数,满足一定条件后切换到下一个分表 四个同时都去切换表 + 1 的操作是不可以的,他们要先从 redis 获取一把锁,没有获取到锁的就直接退出,等待下一次定时任务的调度。拿到了锁的就去执行切换当前分表的操作 实现 获取锁 和 释放锁 的关键代码如下所示: /** * Set the string value as...
采用redis缓存数据
陈旭媛
07-28 892
reids需要缓存下列5块缓存,在没有什么特殊说明的情况下,超时设置为24小时 这些缓存块包括:有效报价集合、标的详情、当天未成交委托报价集、当天已成交委托报价集、标的自选、前后端pub sub消息格式 附加: 1、redis 1)redis是一个开源的、使用C语言编写的、支持网络交互的、可基于内存也可持久化的Key-Value数据库 2)其中value支持五种数据类型:
一个致命的 Redis 命令,导致公司损失 400 !!
Java技术栈,分享最主流的Java技术
09-26 1298
最近安全事故濒发啊,前几天发生了《顺丰高级运维工程师的删库事件》,又发生了《美国码农因代码规范枪杀了4个同事事件》,今天又看到了 PHP 工程师在线执行了 Redis 危险命令导致公司损失 400 。。 什么样的 Redis 命令会有如此威力,造成如此大的损失? 具体消息如下: 据云头条报道,某公司技术部发生 2 起本年度 PO 级特大事故,造成公司资金损失 400 ,原因如下: 由于 P...
Redis 千不要乱用KEYS命令,不然会挨打的
rui888的博客
01-10 1957
Redis现如今使用的场景越来越多?如何批量删除key呢? 有人说用KEYS命令,刚开始学Redis的时候就是用这个命令列出库中键。 KEYS命令要谨慎使用。 为何?客观别急,我们先一步步来看。 KEYS 命令 Warning: consider KEYS as a command that should only be used in production environments with ...
plsql表格怎么显示中文 plsql如何导入表格数据
08-21 816
进入“工具”(Tools)菜单,选择“首选项”(Preferences),在“用户界面”(User Interface)选项卡中,选择“字体”(Fonts)设置,并选择一个支持中文的字体,例如“SimSun”或“Microsoft YaHei”。在使用PL/SQL Developer时,许多用户会遇到表格显示中文的问题,以及如何将表格数据导入数据库的问题。在弹出的窗口中,选择“连接”选项卡,然后在“字符集”(Charset)设置中选择与数据库字符集一致的选项,例如UTF-8。
如何合理设置PostgreSQL的`max_connections`参数
最新发布
分享关于Java编程、数据库管理和信息安全方面的最佳实践
08-21 1287
合理设置需要综合考虑系统的硬件资源、应用程序的需求以及数据库的实际负载。通过精确的计算和参数调整,可以确保数据库在高并发情况下依然稳定、高效地运行。此外,持续监控和优化是确保设置合理的关键步骤。在实际操作中,应结合具体业务需求和负载测试结果,灵活调整,以更好地管理数据库资源,优化整体性能。
墨者学院Oracle靶场通关
Nai_zui_jiang的博客
08-20 409
id=1 order by 3 字段=3页面回显异常 ,说明只存在两个字段。查询数据库表名,查询表名⼀般查询admin或者user表。得到密码之后我们用md5进行解密之后就可以登录后台了。这⾥通过and 1=1 和and 1=2进⾏判断。查完之后我们开始用下面的语句查看数据库版本信息。发现存在注入点之后我们开始判断字段数。接下来我们开始判断回显点。查询用户名和密码信息。
java处理线上事故思路
07-13
在处理线上事故时,以下是一些常见的思路和步骤,供您参考: 1. 快速响应:立即对事故做出反应,召集相关团队成员,确保有人负责事故处理,并尽快组织紧急会议或沟通渠道。 2. 初步诊断:收集关于事故的信息,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值