]> granicus.if.org Git - postgresql/commit
Treat directory open failures as hard errors in ResetUnloggedRelations().
authorTom Lane <tgl@sss.pgh.pa.us>
Tue, 5 Dec 2017 01:52:48 +0000 (20:52 -0500)
committerTom Lane <tgl@sss.pgh.pa.us>
Tue, 5 Dec 2017 01:52:59 +0000 (20:52 -0500)
commit8dc3c971a9d6db5ddc9f0a3c11a70308412d66c3
tree489de3827ae3b05c28e1269f12a771852c86d0a9
parente7cfb26fbc11ea94e93e443e2260e106b6daabdd
Treat directory open failures as hard errors in ResetUnloggedRelations().

Previously, this code just reported such problems at LOG level and kept
going.  The problem with this approach is that transient failures (e.g.,
ENFILE) could prevent us from resetting unlogged relations to empty,
yet allow recovery to appear to complete successfully.  That seems like
a data corruption hazard large enough to treat such problems as reasons
to fail startup.

For the same reason, treat unlink failures for unlogged files as hard
errors not just LOG messages.  It's a little odd that we did it like that
when file-level errors in other steps (copy_file, fsync_fname) are ERRORs.

The sole case that I left alone is that ENOENT failure on a tablespace
(not database) directory is not an error, though it will now be logged
rather than just silently ignored.  This is to cover the scenario where
a previous DROP TABLESPACE removed the tablespace directory but failed
before removing the pg_tblspc symlink.  I'm not sure that that's very
likely in practice, but that seems like the only real excuse for the
old behavior here, so let's allow for it.  (As coded, this will also
allow ENOENT on $PGDATA/base/.  But since we'll fail soon enough if
that's gone, I don't think we need to complicate this code by
distinguishing that from a true tablespace case.)

Discussion: https://postgr.es/m/21040.1512418508@sss.pgh.pa.us
src/backend/storage/file/reinit.c