keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
keepalived使用
! o2 u+ P2 _0 f! O* v- rkeepalived介绍
0 x$ h# V( e: uvrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务
3 l8 J& N3 G9 S8 F/ ?
. o/ d! _+ N; ~( W官网：Keepalived for Linux
! L5 s  {  y+ Y( W5 g' N
功能：
  w# T- U; ^) E5 R3 j

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
: i- L# u& a: LKeepalived 架构
官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux

; U  a$ X( _  V

用户空间核心组件：
9 z$ K! g; z' z[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
环境准备

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
keepalived配置
, J7 {3 M% j; _  u3 h* ^2 l配置文件组成部分
2 e& Q* n5 h' }" S# x2 g  c0 a7 l配置文件：/etc/keepalived/keepalived.conf

6 ^9 j+ ~2 }, q2 G配置文件组成部分：
+ G2 Z6 P7 h+ M8 f" l
GLOBAL CONFIGURATION
       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等

$ s" h0 h4 P  ?# H; o, kVRRP CONFIGURATION
" Y" _+ d: @3 u- @6 c       VRRP instance(s)：定义每个vrrp虚拟路由器
: {9 y4 o0 W) Y- S% \, U
! u9 W0 ^9 n% y4 hLVS CONFIGURATION
$ n6 F( y) p" v5 i' U       Virtual server group(s)

( @1 D; Z: J. h9 J       Virtual server(s)：LVS集群的VS和RS

/ ~& E) p$ Z$ y
7 ]; Y0 V- {& t! S配置文件语法
当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件
4 O, a* L# p, ^8 k
, o' s# z' r, e0 V% S8 n/ @全局配置
. M- g$ `  a3 Q) n( z7 [; v$ |
global_defs {
   notification_email {
8 b9 v3 C$ \5 d  K! s1 S; t9 x     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
   }
/ B) s) ?2 C8 F   notification_email_from keepalived@localhost   #发邮件的地址
   smtp_server 127.0.0.1     #邮件服务器地址
   smtp_connect_timeout 30   #邮件服务器连接timeout
& U1 L( y- ~" T3 }- |+ W   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
: Y4 H7 J; [6 V; M+ h% C$ l   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
$ Q  m3 O5 \  s3 ?   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
# V3 B2 W  h6 _9 @& A! V7 z8 R& @   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
}
: N3 B& F1 t) R$ `4 _+ G3 Q) a
include /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
* {/ i6 \8 L6 \, v# k  `7 H5 v配置虚拟路由器
0 `) T5 g4 s* M: P/ N  |
+ C' X" p; M2 o$ h( H$ avrrp_instance  { #为vrrp的实例名,一般为业务名称
7 C! N: d* s$ K  配置参数
  ......
5 E0 t$ R: e& X/ W- `6 v9 H- e}
#配置参数：
- m* v4 s; ?3 v! T5 Q5 Wstate  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
2 @5 a( v) \% G  Winterface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
; y/ _( K) B& [' ?virtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
priority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
9 t) K7 J; b. W+ n! h/ vadvert_int 1       #vrrp通告的时间间隔，默认1s
authentication { #认证机制
  auth_type AH|PASS
  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
# T8 u2 C/ V1 t* M" X}
virtual_ipaddress { #虚拟IP
    [I]/ brd [I] dev  scope  label
0 U) e5 G+ F' _/ y    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
    192.168.200.101/24 dev eth1                 #指定VIP的网卡
2 u; v+ }* X- c7 q5 p3 m4 @    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
}
" G" x0 I) g0 o" h2 N, Htrack_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
    eth0
% `4 i% H$ P4 w7 v+ R3 j+ {    eth1
    …
}  
: R4 H2 U* s3 g+ U4 Q启用keepalived日志功能
4 L; p# o6 K9 T. h4 I  o- L  U5 t[root@node5 ~]# vim /etc/sysconfig/keepalived
* f9 ?. M3 d( U) ^KEEPALIVED_OPTIONS="-D -S 6"
[root@node5 ~]# vim /etc/rsyslog.conf
1 [7 M0 h+ K8 clocal6.*                                                /var/log/keepalived.log
[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
[root@node5 ~]# tail -f /var/log/keepalived.log

二、keeplived 结合nginx 实现高可用
keeplived+nginx节点1:172.20.21.170
% b1 \+ J- h- s/ p$ ]0 }, n, K* z
7 ~# K) j$ N# ?( R' u3 hkeeplived+nginx节点2:172.20.21.175
: c& f! U$ l( n: y! @/ ^
后端web服务器1:172.20.22.11
9 U) b& x* E/ k/ p0 n0 V
后端web服务器2:172.20.22.12

#先准备好两台后端web服务器
% I' N' O, v! j' H- t! a[root@localhost ~]# yum install -y httpd
[root@localhost ~]# echo 'web1 172.20.22.11'
9 {9 [  l" ?$ C[root@localhost ~]# systemctl start httpd
4 q8 B3 J5 G! c1 J( N2 b) m3 M#访问测试
[root@localhost ~]# curl 172.20.22.11
web1 172.20.22.11
[root@localhost ~]# curl 172.20.22.12
9 M5 l4 w8 d* M' sweb2 172.20.22.12

2 ?7 N& Z. j8 o1 n#在两个节点都配置nginx反向代理
[root@node5 ~]# yum install -y nginx
[root@node5 ~]# vim /etc/nginx/nginx.conf
2 ]0 u! n3 c" D# Q9 |' Thttp {
7 v! G4 z2 H2 \8 K; V2 n5 P    upstream websrvs {
        server 172.20.22.11 weight=1;
        server 172.20.22.12 weight=1;
) |# D+ D& C5 L    }
    server {
2 T+ H0 I( H2 v* Q        listen 80;
        server_name www.a.com;
9 u# t: U6 ~5 t$ q        location / {
4 d* N6 A. {: c            proxy_pass http://websrvs/;
        }
    }
}
3 F8 @( \8 ~+ n. h* x' l6 `9 a
: d( \8 o$ i  X#在两个节点都配置实现nginx反向代理高可用
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
: s* W* |( q  b; N; ~4 \global_defs {
   notification_email {
% D3 ]9 Y" q: \0 b- K  p4 i9 Y     root@localhost
7 B5 z6 i. r: J   }
   notification_email_from keepalived@localhost
. U  G6 r: e+ ^3 Z, q   smtp_server 127.0.0.1
( D$ f8 u0 W0 Z5 H   smtp_connect_timeout 30
   router_id node5               #另一个节点为node8
   vrrp_mcast_group4 224.20.0.18
4 a6 b: @3 G! w- ]" g/ n" Z( S}

% t$ t! H  V2 T. T$ R6 `! [$ M7 hvrrp_instance VI_1 {
& I1 |7 V: a( X8 Y) v) k! [' h    state MASTER                   #在另一个节点为BACKUP
    interface eth0
0 d5 I2 W. N/ @& ]# F$ \* G- i" r4 d    virtual_router_id 65
  H' E% [, J6 U' Z" `    priority 100                   #在另一个节点为80
    advert_int 1
    authentication {
! u1 O, S2 f- [! n9 O: C        auth_type PASS
        auth_pass PbP2YKme
1 d7 Y% @: d2 u! X- A    }
    virtual_ipaddress {
        172.20.22.50/16 dev eth0 label eth0:0
    }
9 O- h* h6 v! M& S+ F}

) \7 z2 ^  |8 b* c3 ?0 w[root@node5 ~]# cat /etc/keepalived/keepalived.conf
[root@node5 ~]# systemctl start keepalived
) y- c, t) W/ a8 B; g0 y% }7 E[root@node5 ~]# ifconfig eth0:0
9 T& y! g8 v  ?) W; s8 L9 F4 c! [eth0:0: flags=4163[U]  mtu 1500
        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)
/ G( _' D' r1 W
##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
, ]  A6 P( Y4 |1 ~0 }; q[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
web2 172.20.22.12
web2 172.20.22.12
web1 172.20.22.11
web2 172.20.22.12
* O1 u8 ~4 N. {8 Y+ wweb1 172.20.22.11

三、keepalived脑裂产生的原因以及解决的办法
keepalived脑裂产生的原因
脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。

& o4 e* k6 Z' n3 J. n: w. {一般来说裂脑的发生，有以下几种原因：
, s9 Y1 @6 X4 j6 i0 g2 ?1 @
* D. E+ S$ m* }% e[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
4 K  Y" @, P- V8 X9 Ykeepalived脑裂解决办法
7 W8 k3 X& a/ k- x* ^4 Z' F一般采用2个方法：

( M5 Z3 I8 H- _2 _# [1、仲裁

  d, E; c$ t) `  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。
4 g7 C& Q' H& r4 _8 _$ |
2、fencing
5 U6 k; @+ _/ m& l# Z$ z
  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备

  A  g; s3 F6 ?1 T, z  y0 a5 D2 z
/ @8 N9 f% x+ Z- \: h+ I四、实现keeplived监控，通知
! j( r% d7 B$ O' P, A2 J  Pkeepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能

1 b; n4 z+ I$ A1 P: {0 o/ L实现Keepalived 状态切换的通知脚本
#在所有keepalived节点配置如下
* Y$ e* x' t7 t, B[root@node3 ~]# cat /etc/keepalived/notify.sh
* C$ D; q) R5 @3 s9 q5 v- A8 U#!/bin/bash
#
contact='root@localhost'
notify() {
  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
}
case $1 in
master)
9 z; U! Z+ j: `1 p4 L, n  `4 n4 m  systemctl start nginx
  notify master
, Z+ m* O" E+ D; A- Z  ;;
backup)
' P  T. q2 w1 g( g* B  systemctl start nginx
# T1 V% n4 I, A: m: L# c3 c* N  notify backup
  ;;
fault)
  systemctl stop nginx
7 L! M2 M4 ^( J3 U5 X# a  notify fault
  ;;
*)
  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
   ;;
esac
/ }. a! C$ j. {1 b0 M
##配置示例
[root@node5 ~]# vim /etc/keepalived/keepalived.conf
- D8 Y  C  O- J% C8 S. b, {vrrp_instance VI_1 {
* e* j! [. [. @0 i$ W- {7 H......
* J& v9 b( l' v: I" i3 \    virtual_ipaddress {
        192.168.30.77/24 dev eth0 label eth0:0
" J9 _% y  t% s) _, w; A. v9 W) e    }
    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault "/etc/keepalived/notify.sh fault"
}

1 U+ c) _9 P. L) p1 zVRRP Script 配置
分两步实现：

1、定义脚本

8 X6 `2 f. R: H3 \5 y  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。
; V/ N' @1 Y0 b
  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点
5 S  u  w7 W3 R1 K
0 ]0 c) B. I/ n$ a2、调用脚本

4 x' {9 U. D. E% P  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script

) n/ R' I4 T/ X8 T# E8 V6 d. `6 G##定义VRRP script
) g( u9 j( M" dvrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
    script |  #shell命令或脚本路径
    interval [I]               #间隔时间，单位为秒，默认1秒
7 Y1 Q5 ^6 t% c$ Z3 r1 z    timeout [I]                #超时时间
    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
4 V" p/ J6 Z9 A; @    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
4 }5 q/ p9 Z: ^3 b    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
}

0 P9 s$ n. b" g. ?##调用VRRP script
vrrp_instance VI_1 {
    …
( u8 c  _2 z# n+ Y0 |' y) v    track_script {
        chk_down
  a, B- L& q3 x9 N( L' X  }
}
实现HAProxy高可用
##在两个节点修改内核参数
1 d7 \$ N( d" a# j+ E' s! T: ?[root@node5 ~]# vim /etc/sysctl.conf
[root@node5 ~]# sysctl -p
- V% e1 ?8 J" H( _0 R0 unet.ipv4.ip_nonlocal_bind = 1
#在两个节点先实现haproxy的配置
, \+ O; L$ r2 [8 h1 R2 L  Z' ]7 ^# [[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
5 T. m' b+ i# o1 mlisten stats
3 w; X6 d  |" T& ?1 @( y7 r  mode http
1 r% t8 V/ d8 Z  j9 t/ l  bind 0.0.0.0:9999
; A  x: E: t5 G' N: K  stats enable
  log global
6 g1 Y6 I- d" a8 D% m+ i$ d3 [  stats uri     /haproxy-status
. W" i' J" w# N, I, ]  E- S  stats auth    haadmin:123456
# o( r4 f/ w& y8 J% ]listen  web_port
* r6 y- o% m  A% i  bind 172.20.22.50:8899
  mode http
  log global
  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
; z! D% h' F# `0 N+ k9 k  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
( O. t3 @7 g8 k* N* R6 D4 s7 ]  
  
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
( J3 K4 w* n! l. W0 B' Dglobal_defs {
7 l: D; O5 W; }2 W8 V   notification_email {
. q4 V2 t! L/ L- t; O     root@localhost
* `8 j) e* `" m) F# {   }
   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
   smtp_connect_timeout 30
  s8 ?8 A1 ]5 \9 X) H! L4 q   router_id node5                 #在另一个节点为node8
   vrrp_mcast_group4 224.20.0.20
1 z) `, K6 P. z- a9 b}
vrrp_script check_haproxy {        #定义脚本
    script "/etc/keepalived/chk_haproxy.sh"
    interval 1
* M4 E6 W% @! n8 W& ?/ g6 f  }    weight -30
    fall 3
    rise 2
}
vrrp_instance VI_1 {
    state MASTER                 #在另一个节点为BACKUP
8 u; ?+ i; @4 T( n$ v; _    interface eth0
6 ~/ N% _6 N& G9 Q6 M+ A: ~6 n    virtual_router_id 65
    priority 100                 #在另一个节点为80
    advert_int 1
  z, G) w( R, Z5 N    authentication {
9 _. |, Z' ]6 w$ X1 B, B. R1 g' j        auth_type PASS
: {2 d' x3 c' Y) l        auth_pass PbP2YKme
    }
    virtual_ipaddress {
" [: K9 M3 P; `* N8 @9 x! {        172.20.22.50/16 dev eth0 label eth0:0
    }
    track_script {
        check_haproxy            #调用上面定义的脚本
: H; c; k; D: d3 e    }
    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
' h: \/ L/ c0 R' I    notify_fault  "/etc/keepalived/notify.sh fault"
}
) Z" U; v% `6 Z+ A
- x6 a1 c( M1 k3 K, F) U[root@node3 ~]# cat /etc/keepalived/notify.sh
# i" T* f- W# ~+ s9 l6 U#!/bin/bash
5 b3 u) B; ^* j4 Z; ^' a6 v0 S5 `#
% s: r# t* o7 T5 y( p2 }7 Dcontact='root@localhost'
notify() {
- @9 H* M) {" j% P, e  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
% l: R  |2 L4 F' b, y* x4 c$ ]  echo "$mailbody" | mail -s "$mailsubject" $contact
2 c, x3 T$ e/ Q1 N% [5 x4 L}
case $1 in
master)
' b8 _' ^6 J7 Q9 P) s  systemctl start nginx
  notify master
  ;;
backup)
  systemctl start nginx
  notify backup
  ;;
fault)
/ k2 a' L* C4 F  i  systemctl stop nginx
/ U/ ~9 C7 H0 d; G# ?  notify fault
  ;;
*)
- f/ t) {/ U& R4 n0 Y6 }& h  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
3 p) T9 G" N% E6 b+ v& q8 E   ;;
esac
% k. Z$ Z' p7 J3 M" N0 E
- B+ f- A1 i: p" j' U[root@node5 ~]# yum install -y psmisc
6 Q; @% [+ B/ U) L9 l" K' y[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
#!/bin/bash
# @- D; c- i5 ^- R1 x/usr/bin/killall -0 haproxy