keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
keepalived使用
keepalived介绍
: [4 T3 {1 K- c4 ~- z7 j7 ~vrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务

官网：Keepalived for Linux

2 d, j" I' K6 q$ H( D( _- D- m功能：
1 E9 K! @. s! y- Z
1 W( m6 t; M/ t7 X" U+ n% h% K- u

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
) l& D4 Q* @4 D- T+ Z" G8 L  z& \* FKeepalived 架构
官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux

用户空间核心组件：
8 K/ W0 y3 D' ~3 r8 ~# G[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
环境准备
- Y! F5 u+ J* E9 f' i/ r

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
keepalived配置
配置文件组成部分
配置文件：/etc/keepalived/keepalived.conf
3 b; S2 A" m5 y& O/ T
" W/ O# o% V6 v6 b* E配置文件组成部分：

GLOBAL CONFIGURATION
1 Y: p$ j7 w, y- b; x% i       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等

; f0 y# z, B$ J7 S. `. N' a& _, PVRRP CONFIGURATION
8 e9 F4 b' H, {3 a  s( A       VRRP instance(s)：定义每个vrrp虚拟路由器
: ^3 M0 y. ^( F; y# ^
% ^& O  _8 b5 f& RLVS CONFIGURATION
. r% K% _. g% t; x: x! K       Virtual server group(s)

% L' o5 U$ s; ?* v0 j9 {       Virtual server(s)：LVS集群的VS和RS

2 C  {# B& B1 [2 `0 W( w, S
% x" V  t7 f6 \配置文件语法
$ Q2 A# b! {( }, `; U当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件

0 p- K$ \3 {4 w. v全局配置
+ Z1 k( \7 }# X: A+ T0 t1 A0 E
: O) H  p* t9 E1 U8 Tglobal_defs {
   notification_email {
% L9 [( v# D0 q# s. f& `. W7 \     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
2 h0 ^  v& {+ I( [) P   }
   notification_email_from keepalived@localhost   #发邮件的地址
   smtp_server 127.0.0.1     #邮件服务器地址
   smtp_connect_timeout 30   #邮件服务器连接timeout
   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
+ ]- g) }$ V8 i& j9 i7 @0 o   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
' ?9 Z) R; T! t8 \   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
' h2 U& R9 j6 V. n4 H( W- n5 m   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
$ E/ u9 z- S8 \: y1 d; r0 }   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
# J0 N+ X5 r1 l) D/ i, B}

) e( K: }, u' P% k0 d  k" l& G2 uinclude /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
. _0 g: I8 Y- i; D% L配置虚拟路由器

vrrp_instance  { #为vrrp的实例名,一般为业务名称
& E) V# @3 d; a' Q  配置参数
% {4 h5 n+ E& ?1 y; X4 d5 I7 s  ......
}
; j3 k' N. O5 n7 {. C#配置参数：
state  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
+ z" F* d4 X- }) U9 ]$ n& G( ?interface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
virtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
priority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
advert_int 1       #vrrp通告的时间间隔，默认1s
1 _* `$ Y" R' F1 x7 Pauthentication { #认证机制
- ^; L5 O7 A& v/ S7 i  auth_type AH|PASS
. H, b# |8 O% \8 _  Z  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
, H0 `! _. K8 U" y4 ?8 n/ M}
% N0 y4 O* g9 j4 a5 J6 Nvirtual_ipaddress { #虚拟IP
7 y. e# l0 U# {% `3 E    [I]/ brd [I] dev  scope  label
    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
    192.168.200.101/24 dev eth1                 #指定VIP的网卡
    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
( x% t' t- d! G. N. ~  [}
7 G& o" W8 Y# ?/ Dtrack_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
4 J% E" o& p9 U7 n7 U7 Z* X: k    eth0
    eth1
- @2 n0 J7 Z3 \/ e    …
}  
' U5 m# v# N, K9 H7 {启用keepalived日志功能
3 d: ?# j) G# {$ T4 |* f[root@node5 ~]# vim /etc/sysconfig/keepalived
' {1 C& k5 W% ?+ ^" QKEEPALIVED_OPTIONS="-D -S 6"
# b) G! ~9 r( S& ]1 B7 s[root@node5 ~]# vim /etc/rsyslog.conf
local6.*                                                /var/log/keepalived.log
[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
1 @. c6 ~6 D+ _& e4 b[root@node5 ~]# tail -f /var/log/keepalived.log

二、keeplived 结合nginx 实现高可用
keeplived+nginx节点1:172.20.21.170
6 V5 k9 X! V8 C" \; G# X
2 l( ~2 c6 F9 Q: X5 `keeplived+nginx节点2:172.20.21.175

后端web服务器1:172.20.22.11
5 o4 e0 o' ^- b7 S/ r
后端web服务器2:172.20.22.12
; t6 L' s' H' a  G' [, H
5 s) \  H& u9 S6 n) m- \2 y#先准备好两台后端web服务器
, @9 R2 T6 k& |1 H# i" v[root@localhost ~]# yum install -y httpd
4 d* l& p7 N; F[root@localhost ~]# echo 'web1 172.20.22.11'
[root@localhost ~]# systemctl start httpd
#访问测试
) }) m( t8 k! |+ Y6 U0 A+ y. t[root@localhost ~]# curl 172.20.22.11
web1 172.20.22.11
: `+ G/ C7 N  k% |3 z[root@localhost ~]# curl 172.20.22.12
! ]. @$ ]; \# A" Cweb2 172.20.22.12
$ E% V) f5 [' k$ N& i& J
4 q7 V3 z$ T  g* L6 i$ m) N#在两个节点都配置nginx反向代理
[root@node5 ~]# yum install -y nginx
0 D8 K8 j) f7 N4 B1 Q/ X9 E[root@node5 ~]# vim /etc/nginx/nginx.conf
# i0 @+ D$ Q- }7 y; F& xhttp {
    upstream websrvs {
        server 172.20.22.11 weight=1;
        server 172.20.22.12 weight=1;
    }
    server {
        listen 80;
        server_name www.a.com;
6 G9 n4 h! }3 f% P6 s        location / {
            proxy_pass http://websrvs/;
6 D! R, ]& n1 \! W% Y        }
    }
}

. _; `8 m' J7 v, u#在两个节点都配置实现nginx反向代理高可用
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
   notification_email {
     root@localhost
   }
   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
' \2 c9 }2 }, e) X6 Z& y   smtp_connect_timeout 30
- L* j$ R4 }6 m; a6 b0 j" E; |   router_id node5               #另一个节点为node8
   vrrp_mcast_group4 224.20.0.18
- {" z) b  D3 h. ]$ \}
! p" d0 ?! u: z- @$ k# j5 k
vrrp_instance VI_1 {
3 }/ X2 F7 T0 ^; c. r5 Q# F    state MASTER                   #在另一个节点为BACKUP
( W$ O7 u* S' U5 A' s5 T    interface eth0
    virtual_router_id 65
    priority 100                   #在另一个节点为80
    advert_int 1
7 W6 R! V5 G; J* \4 X' ^3 d    authentication {
0 r! B: O8 b9 Q+ R        auth_type PASS
        auth_pass PbP2YKme
    }
; J$ L% B6 _( u9 g    virtual_ipaddress {
( k' U( Q6 Z0 v! `        172.20.22.50/16 dev eth0 label eth0:0
0 p8 h, Q9 ?' Z    }
6 t& N+ q4 m$ ^/ n9 c, f}

[root@node5 ~]# cat /etc/keepalived/keepalived.conf
. x0 j$ p3 w  u[root@node5 ~]# systemctl start keepalived
[root@node5 ~]# ifconfig eth0:0
/ z3 f1 l& U- ?- ^4 Heth0:0: flags=4163[U]  mtu 1500
4 e- O% x) S* e3 x        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)
) m5 [6 |  G9 [2 ?
##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
web2 172.20.22.12
9 O' Y6 K4 e" ~, |" uweb2 172.20.22.12
5 A* c! m6 i1 J3 x* r# w' G9 Yweb1 172.20.22.11
" b/ B6 K3 H! c6 v7 P6 Fweb2 172.20.22.12
; n2 ?( P0 W; P7 \( Xweb1 172.20.22.11

三、keepalived脑裂产生的原因以及解决的办法
keepalived脑裂产生的原因
脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。

% `/ n8 ?& H: O$ r0 }, |一般来说裂脑的发生，有以下几种原因：
" z* v$ h% @* a
[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
keepalived脑裂解决办法
# `" p' X3 e8 p5 F; ]+ v一般采用2个方法：
: N1 y8 d* d! v
1、仲裁
1 t0 O2 h0 @, }% D
  g, B( t+ `! H6 h: g7 H, s& w  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。
8 Y: W  v; O; h- N4 q
2、fencing

  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备


四、实现keeplived监控，通知
keepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能
' q) W1 U5 i& k/ h
5 H/ `5 J/ H( K) ?3 _$ C) k9 m实现Keepalived 状态切换的通知脚本
#在所有keepalived节点配置如下
6 ~. }- V2 H5 P" H[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
#
0 B, _0 y" e- n* i6 Z( B( Ycontact='root@localhost'
; Z9 N& C  O% I  O/ r5 g; ]+ n7 Hnotify() {
7 L+ Q8 @: T0 v; `+ U( b; Y9 ?+ e  local mailsubject="$(hostname) to be $1, vip floating"
! G, P0 v1 c/ p5 X- D  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
}
case $1 in
$ Q3 e, w+ ~- V2 Z: [+ T* B; mmaster)
  systemctl start nginx
  notify master
  ;;
backup)
  systemctl start nginx
  notify backup
/ O! C$ `# D" R/ E3 ]$ }  ;;
fault)
  systemctl stop nginx
  notify fault
2 {! |2 m  P1 e) z5 [  ;;
*)
4 b9 c. @5 D% l* l' F  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
, G0 _% }) B7 \   ;;
! c% r0 W# y  ?$ e+ S2 A& m4 E6 l6 H, desac
& \/ X" O/ U$ n' V" I" ~
. @, L$ o2 f- N##配置示例
[root@node5 ~]# vim /etc/keepalived/keepalived.conf
vrrp_instance VI_1 {
5 z5 V( F( m" q* F......
    virtual_ipaddress {
/ W3 ~9 Y  }( h9 Y+ C3 P# F        192.168.30.77/24 dev eth0 label eth0:0
. E' w% G1 X) ~; G2 `    }
2 P7 h* T4 z# N3 G; w! \% \- ~3 k    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault "/etc/keepalived/notify.sh fault"
}
! i: B3 ?; o' x1 E$ p# w
VRRP Script 配置
% s( L) K5 o( `+ I% r分两步实现：
2 |  \# I/ f* A5 {5 w# c& y  ^: |' F
% y' Q- |  x  Z- h9 U% l2 _1、定义脚本

7 Y% T1 g, d9 i# J+ E  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。

  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点

1 e8 c5 G" Q" N( U% {2、调用脚本
) E7 m/ B. _/ O; V# J
$ s6 _; k4 }! b, h* q, H9 q3 d  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script
4 V, f$ r7 V7 Y0 `' k
##定义VRRP script
vrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
5 I2 q3 c: {1 Z: Y) _! A    script |  #shell命令或脚本路径
    interval [I]               #间隔时间，单位为秒，默认1秒
    timeout [I]                #超时时间
    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
7 m. p- f0 m+ u    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
}

2 s, c8 y/ x; @3 w##调用VRRP script
6 C( @0 c0 n& Z3 Q( z& M2 Gvrrp_instance VI_1 {
    …
( F$ f6 v# ?' s$ F2 w+ ]    track_script {
        chk_down
) ?6 W. @4 P+ B0 u6 r% m  ]  }
}
实现HAProxy高可用
* c. \1 A7 i6 `% @5 O5 ^) j##在两个节点修改内核参数
[root@node5 ~]# vim /etc/sysctl.conf
[root@node5 ~]# sysctl -p
net.ipv4.ip_nonlocal_bind = 1
#在两个节点先实现haproxy的配置
[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
, W4 Q+ e6 v5 f1 U3 tlisten stats
+ ]) W7 z9 G& ?3 H+ t  Z# `  mode http
  bind 0.0.0.0:9999
+ s! F. t$ X! C( `  stats enable
8 B: i, L* Z. c6 l; U' K: K0 \- [  log global
  stats uri     /haproxy-status
* ?! s3 W3 K- K( N1 _  stats auth    haadmin:123456
listen  web_port
  bind 172.20.22.50:8899
  mode http
  log global
. _. ~8 H' ^( x- h- Q8 ?  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
% O5 \$ ?% c' B. `  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
1 ]  l/ E2 }+ K+ s  
0 L2 @- w( Y  H7 q2 z1 V  
9 w# u$ O1 t% f" f; A# [0 A[root@node5 ~]# cat /etc/keepalived/keepalived.conf
3 J. b3 k" P4 S1 s% l, v( G9 eglobal_defs {
% U+ I, u* E5 R  m) J7 Y   notification_email {
* [7 k3 D% d! b; e4 M6 F     root@localhost
9 b$ P/ h$ M) |5 [3 n' w   }
   notification_email_from keepalived@localhost
1 E) Y% r: K) {" _7 ]0 A5 D: H   smtp_server 127.0.0.1
( @" R. x! ~. ]" d7 m1 b. l   smtp_connect_timeout 30
   router_id node5                 #在另一个节点为node8
   vrrp_mcast_group4 224.20.0.20
}
$ J3 v  z  c/ {# w+ ^* Ivrrp_script check_haproxy {        #定义脚本
- s* u! ^, C" j) E    script "/etc/keepalived/chk_haproxy.sh"
0 b7 e; \" l# _5 ?4 z+ S    interval 1
    weight -30
4 z- Q$ D2 s: p6 u1 ?( `0 \& A* h    fall 3
    rise 2
# r  E  R% b& h& S  K* J}
* c# _! m. g( @5 |vrrp_instance VI_1 {
    state MASTER                 #在另一个节点为BACKUP
    interface eth0
( e# y- }0 {9 z. C    virtual_router_id 65
    priority 100                 #在另一个节点为80
    advert_int 1
7 W  l- g) h! Q" c    authentication {
/ t6 y8 {  M1 |1 y1 g        auth_type PASS
        auth_pass PbP2YKme
    }
. @& k0 f: Y  N2 F    virtual_ipaddress {
; P, O' B7 R$ _* A" @        172.20.22.50/16 dev eth0 label eth0:0
    }
" d, g5 M& x- C( f& ]3 T    track_script {
        check_haproxy            #调用上面定义的脚本
- {2 D6 t& I' Z3 l& r    }
) V2 Q/ b1 k! y$ Z/ V' K    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault  "/etc/keepalived/notify.sh fault"
}

[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
#
7 }% |% {. _6 t1 e8 T. z/ gcontact='root@localhost'
+ G$ g. I% Z9 _5 f0 F4 q7 jnotify() {
  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
( P. E8 ]$ u: ~}
! u5 |" T- V, L5 L8 Kcase $1 in
: d% S% h& E, W/ Z6 Zmaster)
  systemctl start nginx
3 A* k$ C3 U4 \2 k* E; f  notify master
. n0 L8 H. j1 F6 g1 W  ;;
backup)
  systemctl start nginx
' V- l7 m$ [; M( u7 a5 O, H: q% ^  notify backup
  ;;
fault)
  systemctl stop nginx
0 E, M1 i/ T. c8 J  notify fault
0 o# I8 N, u) Y/ z) L& Q" p6 I  ;;
*)
& q0 U& v5 Q/ G* j! f3 g5 u& Q  echo "Usage: $(basename $0) {master|backup|fault}"
* u' ]9 ]- Y/ p- [8 t  exit 1
1 K" V! p: A) [: U0 R+ E! ~& c' V, h   ;;
esac

[root@node5 ~]# yum install -y psmisc
[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
#!/bin/bash
/ |9 ^4 k, f6 n6 n/usr/bin/killall -0 haproxy