Alta Disponibilidade MySQL com InnoDB Cluster.

Por quase duas décadas, "alta disponibilidade no MySQL" significou replicação master-slave com failover manual ou MHA/Orchestrator por cima. Funcionava — e ainda funciona — mas exige cerimônia operacional e tolerância a 5-15 minutos de janela em qualquer troca de papel.

InnoDB Cluster muda o jogo. É a stack oficial da Oracle para HA em MySQL — Group Replication + MySQL Router + MySQL Shell — com failover automático em segundos e consistência sincrônica de escrita. Este artigo é o guia técnico que usamos quando desenhamos clusters MySQL em produção, complemento direto da nossa consultoria MySQL.

Em 2026, três famílias de soluções dominam HA em MySQL: replicação assíncrona clássica (com Orchestrator ou MHA), InnoDB Cluster (Group Replication) e soluções proprietárias de cloud (Aurora MySQL, Cloud SQL HA, Azure Flexible Server). Cada uma serve um perfil diferente.

Replicação assíncrona escala leitura e replica entre regiões — mas failover não é automático nem instantâneo. Aurora resolve HA com storage compartilhado distribuído, mas trava o cliente em AWS. InnoDB Cluster é o meio-termo: portátil entre on-prem e qualquer cloud, automático, sincrônico, mantido pela Oracle.

InnoDB Cluster é composto por três componentes que se complementam:

Group Replication (camada de dados)

Plugin nativo do MySQL que faz replicação sincrônica baseada em quórum. Cada commit precisa ser certificado pela maioria dos nós antes de retornar OK ao cliente. Garante que, se a primária cair, nenhum dado commitado se perde.

MySQL Router (camada de roteamento)

Proxy leve que mantém um mapa do estado do cluster e roteia escritas para a primária e leituras para as réplicas. Em failover, atualiza o mapa em segundos sem que a aplicação precise reconectar manualmente.

MySQL Shell (camada de operação)

CLI/biblioteca Python+JS que cria, monitora e opera o cluster com comandos de uma linha: dba.createCluster(), cluster.addInstance(), cluster.status(). Esconde a complexidade de configuração manual do Group Replication.

Group Replication usa o protocolo Paxos (variante XCom) para certificação distribuída. Cada transação carrega seu writeset (conjunto de linhas modificadas) e é certificada contra writesets concorrentes — se houver conflito, a transação mais antiga vence e as demais recebem rollback no commit.

group_replication_consistency é o parâmetro mais subestimado: EVENTUAL (default) pode ler dados antigos durante failover; BEFORE_ON_PRIMARY_FAILOVER espera o catch-up — escolha consciente entre consistência e latência.

MySQL Router expõe dois endpoints lógicos: um para leitura/escrita (apontado para a primária) e um read-only (load-balanceado entre réplicas). A aplicação conecta no Router, não diretamente nos nós — é o que torna o failover transparente.

Em produção séria, Router roda como sidecar em cada host de aplicação (não centralizado), eliminando ponto único de falha e latência de hop extra. Configuração via mysqlrouter --bootstrap que lê metadata do cluster e gera config automaticamente.

"Cluster sem Router em sidecar é cluster com SPOF disfarçado."

Failover automático

Quando a primária para de responder, o quórum elege a réplica mais avançada (menor lag) como nova primária em segundos. Router detecta a mudança e redireciona conexões — aplicação enxerga reset de conexão e reconecta. Driver moderno (Connector/J, Connector/Python, mysql2 do Node) reconecta sozinho.

Split-brain

Em particionamento de rede, o lado sem quórum entra em modo somente-leitura automaticamente (super_read_only=ON). Quando a partição cura, o nó precisa ser rejoinado manualmente — Group Replication não força rollback automático de divergência.

Manutenção rolling

Upgrade de versão, troca de hardware ou patch de SO: tira-se um nó por vez do cluster com cluster.removeInstance(), atualiza, e readiciona com cluster.addInstance(). Zero downtime quando bem orquestrado.

Cluster não é solução universal. Não use se:

• Latência entre nós > 5ms — flow control vai estrangular throughput.
• Workload > 80% write com transações longas — certificação distribuída vira gargalo.
• Você só precisa de read scale-out — replicação assíncrona é mais barata e simples.
• Time não opera Linux/MySQL no nível necessário — cluster mal operado é pior que single instance bem operada.

• 3 ou 5 nós em zonas de disponibilidade distintas.
• MySQL Router em sidecar por host de aplicação.
• group_replication_consistency definido conforme o RPO.
• Backup com restore testado fora do cluster (PITR via mysqlbinlog + dump físico).
• Monitoramento de performance_schema.replication_group_members e flow control.
• Runbook de rejoin pós split-brain ensaiado.
• Replicação assíncrona para DR cross-region — cluster local não substitui DR.
• Cobertura por DBA Remoto 24/7 ou time interno com plantão.