]> granicus.if.org Git - postgresql/commit
Advance the stop point for multixact offset creation only at checkpoint.
authorRobert Haas <rhaas@postgresql.org>
Mon, 11 May 2015 02:21:20 +0000 (22:21 -0400)
committerRobert Haas <rhaas@postgresql.org>
Mon, 11 May 2015 02:45:27 +0000 (22:45 -0400)
commitded891916f7ae4ef2806a247c696940924e83745
tree70d80b57eca55bd68187a006c3bcd48a0120f112
parent7b3f0f8b8ac2278d29e39b685d7c84ccd6ce1e93
Advance the stop point for multixact offset creation only at checkpoint.

Commit b69bf30b9bfacafc733a9ba77c9587cf54d06c0c advanced the stop point
at vacuum time, but this has subsequently been shown to be unsafe as a
result of analysis by myself and Thomas Munro and testing by Thomas
Munro.  The crux of the problem is that the SLRU deletion logic may
get confused about what to remove if, at exactly the right time during
the checkpoint process, the head of the SLRU crosses what used to be
the tail.

This patch, by me, fixes the problem by advancing the stop point only
following a checkpoint.  This has the additional advantage of making
the removal logic work during recovery more like the way it works during
normal running, which is probably good.

At least one of the calls to DetermineSafeOldestOffset which this patch
removes was already dead, because MultiXactAdvanceOldest is called only
during recovery and DetermineSafeOldestOffset was set up to do nothing
during recovery.  That, however, is inconsistent with the principle that
recovery and normal running should work similarly, and was confusing to
boot.

Along the way, fix some comments that previous patches in this area
neglected to update.  It's not clear to me whether there's any
concrete basis for the decision to use only half of the multixact ID
space, but it's neither necessary nor sufficient to prevent multixact
member wraparound, so the comments should not say otherwise.
src/backend/access/transam/multixact.c