keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
- c* }; N) x9 M( o5 ?keepalived使用
; x+ F6 u4 i- A) F; Bkeepalived介绍
vrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务
. C- _$ p. J# Y- a  b& n
官网：Keepalived for Linux
! R9 j) _/ y' [- b2 t* @' |
$ U- P5 K" d  s1 b/ h# N功能：

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
! s, h- {  O% m9 BKeepalived 架构
官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux

% G- O8 C/ O# g8 b

用户空间核心组件：
[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]
! a" X2 R1 y& w

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
环境准备

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
: b, ]- G% c# o9 ?0 O9 y7 o: h& J% nkeepalived配置
配置文件组成部分
7 t# \* ~3 @# h配置文件：/etc/keepalived/keepalived.conf

3 o8 [% j8 v- p5 Q" [8 l: e& p配置文件组成部分：

6 L: J* @* r) E& d) l( cGLOBAL CONFIGURATION
; K! [1 ^; ]4 t1 g       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等
4 E  j6 x8 l& Y
3 b& w' o) o8 B% s0 jVRRP CONFIGURATION
       VRRP instance(s)：定义每个vrrp虚拟路由器
% b2 p5 l4 h1 y, t
LVS CONFIGURATION
2 H; d. C0 A8 {' O       Virtual server group(s)
& Q+ y, n, z6 I4 @
       Virtual server(s)：LVS集群的VS和RS
5 Y. q7 `* q, r* q, R( P- P

配置文件语法
  K  p9 l0 d5 `9 S, ~! Z. }当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件
0 |  b% K$ O: Q  b. b
, ]7 o! u+ j% m全局配置

/ o; O; I( S4 @: T3 s9 nglobal_defs {
4 C8 Y5 H8 j$ w/ ?7 _   notification_email {
) ?& v, C: {' i8 x/ f8 E     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
3 Y5 c4 O; ~4 L: J% x+ s' p7 J- n4 N4 `   }
1 |* e) N" X2 }: h2 [5 l   notification_email_from keepalived@localhost   #发邮件的地址
- q! O  J' Q" S1 b, X  G   smtp_server 127.0.0.1     #邮件服务器地址
$ Y6 N  H" E5 D4 O   smtp_connect_timeout 30   #邮件服务器连接timeout
   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
. ^  M( y' ]+ j   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
; M, y! v0 B1 v/ F   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
& g% D. T, q& ?  ^1 e& C/ _   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
2 K' D! S( j! `: L: d$ f' d9 _}

- {) M' U' r$ D& ?! F6 ?/ ?" yinclude /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
配置虚拟路由器

/ \' e7 j. j3 n' jvrrp_instance  { #为vrrp的实例名,一般为业务名称
  配置参数
* S- W% i- S0 {# d3 u8 Z  ......
1 q8 q% r9 ~* z% V% D% [4 n}
4 [( }9 ^6 v% W$ l2 l' F#配置参数：
state  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
interface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
virtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
priority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
' O, j4 Y! X9 i" L4 xadvert_int 1       #vrrp通告的时间间隔，默认1s
+ P4 A4 i+ H2 X, A! E. S* o; c# v- Wauthentication { #认证机制
  auth_type AH|PASS
- `6 q0 w* p4 G1 u1 g2 C6 g+ ~& z  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
9 A2 g! a3 \: A/ _( N+ q}
) H4 y5 n4 D8 [4 W% k& cvirtual_ipaddress { #虚拟IP
6 w% U: D) c# H  i9 a- B    [I]/ brd [I] dev  scope  label
: j. P6 K- Z' \    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
* p; ^! h0 w* H8 a    192.168.200.101/24 dev eth1                 #指定VIP的网卡
    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
, s" i; c+ Y' t" \}
track_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
    eth0
    eth1
    …
0 A) A# R" K% H5 G}  
启用keepalived日志功能
[root@node5 ~]# vim /etc/sysconfig/keepalived
KEEPALIVED_OPTIONS="-D -S 6"
[root@node5 ~]# vim /etc/rsyslog.conf
local6.*                                                /var/log/keepalived.log
[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
[root@node5 ~]# tail -f /var/log/keepalived.log

4 n& q% @4 D' t二、keeplived 结合nginx 实现高可用
# q2 B7 q+ k9 gkeeplived+nginx节点1:172.20.21.170

; x; R% S# N9 ^7 Y% s7 Lkeeplived+nginx节点2:172.20.21.175

' q. V; Z1 U+ i- S' ?3 k& [后端web服务器1:172.20.22.11

后端web服务器2:172.20.22.12
# w: H  u& T$ |, W
#先准备好两台后端web服务器
/ C$ T) F% O& D% [. e0 {[root@localhost ~]# yum install -y httpd
6 i) T, H2 s9 ?: m1 o2 f' {6 J[root@localhost ~]# echo 'web1 172.20.22.11'
[root@localhost ~]# systemctl start httpd
; d# Y- G6 ~: R#访问测试
' k7 {' D# q( y( R* f* A% S( [& a7 \[root@localhost ~]# curl 172.20.22.11
/ S% ^1 b4 O/ c2 D& y3 ^' kweb1 172.20.22.11
[root@localhost ~]# curl 172.20.22.12
9 e2 N3 l8 q) xweb2 172.20.22.12

#在两个节点都配置nginx反向代理
[root@node5 ~]# yum install -y nginx
[root@node5 ~]# vim /etc/nginx/nginx.conf
& `2 A$ }, W  a. l0 lhttp {
! H. l- G" {/ i& H+ x& G    upstream websrvs {
! r9 ^) j- K7 b- E! W1 v        server 172.20.22.11 weight=1;
' \  C* i$ o; n. L" M# w$ X5 _+ x4 T        server 172.20.22.12 weight=1;
/ u( x& b6 |: G    }
0 U" w' r4 u2 b- d' X    server {
/ e* D/ \. n8 A+ i/ d% u0 x6 o        listen 80;
        server_name www.a.com;
* M; ?* M) D% d        location / {
            proxy_pass http://websrvs/;
  H% p- B( R5 w. L; C        }
9 p9 F8 p1 |+ [4 q0 z2 I5 u    }
}

5 G9 _! v8 k* b8 q# R. n6 s  |#在两个节点都配置实现nginx反向代理高可用
4 [' T% H5 l; G& D, q[root@node5 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
   notification_email {
     root@localhost
   }
   notification_email_from keepalived@localhost
5 f; x4 J# ?+ [2 U" ^4 W# s/ O   smtp_server 127.0.0.1
   smtp_connect_timeout 30
   router_id node5               #另一个节点为node8
# O. E' f- D7 s" w   vrrp_mcast_group4 224.20.0.18
}
. Z, r& P: _0 N+ q# @, C
vrrp_instance VI_1 {
1 B( i9 @8 F+ t' P- a    state MASTER                   #在另一个节点为BACKUP
    interface eth0
3 E3 i( C( }( j    virtual_router_id 65
    priority 100                   #在另一个节点为80
; c8 s) p& H0 S+ Z( O+ W0 i    advert_int 1
5 N6 S5 X4 K2 O  Z. V    authentication {
        auth_type PASS
1 x5 U6 \: Q% f+ f6 S: C: i0 l        auth_pass PbP2YKme
    }
# p9 ?4 N' g( u0 F" z    virtual_ipaddress {
# l. B; V/ ~; K6 Y/ M4 a/ N        172.20.22.50/16 dev eth0 label eth0:0
2 X$ I) t" z) [* P    }
}

[root@node5 ~]# cat /etc/keepalived/keepalived.conf
[root@node5 ~]# systemctl start keepalived
' w7 A% L" s7 f. C; b[root@node5 ~]# ifconfig eth0:0
eth0:0: flags=4163[U]  mtu 1500
        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
$ @/ A# ?2 C9 C  _. a        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)
' B2 U6 C" F: q  i+ X+ [
##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
# y8 [1 `) ?& ^- Aweb2 172.20.22.12
web2 172.20.22.12
web1 172.20.22.11
- N" P' f: n0 c7 K/ Iweb2 172.20.22.12
. u# K4 o. @1 J2 x/ U$ Nweb1 172.20.22.11

' \0 M2 ^: H# s$ [3 s( _三、keepalived脑裂产生的原因以及解决的办法
keepalived脑裂产生的原因
脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。

一般来说裂脑的发生，有以下几种原因：

[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
keepalived脑裂解决办法
  {7 U2 K, \0 T" W( w1 N$ n& g2 D一般采用2个方法：

1、仲裁

  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。

& D5 J2 r( t6 M8 _3 w7 t2、fencing
! L  T9 n; j8 W2 k& f8 S: D
, k/ F' s1 B% ?7 q5 ~  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备


四、实现keeplived监控，通知
' |1 [4 l8 U# C7 j- d- ^% ikeepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能
3 n- i& N: `! g) S2 o& M5 a/ b& _
2 g% {( Z' m+ B) [: Y; @实现Keepalived 状态切换的通知脚本
#在所有keepalived节点配置如下
' B; {. h1 D! Z/ k[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
+ }7 D8 h. r5 N# N6 @; s* L#
# N: I4 X0 }; k+ vcontact='root@localhost'
. W2 i) r9 M! _# B# u' a% S; h. @notify() {
) j. z8 Z6 V7 f7 S" p$ Z; V: U% A  local mailsubject="$(hostname) to be $1, vip floating"
& s: J" P9 s6 a% Q' y2 x  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
}
: S6 T: j) z. Vcase $1 in
( i4 b& U5 X1 ~  y* X- D) m8 jmaster)
  systemctl start nginx
" u# m* U3 N0 k# a  notify master
  ;;
" O% m% V/ o5 ]& W- j7 Hbackup)
1 i" y1 A$ u) K7 e2 m( W4 ^  systemctl start nginx
9 D6 x$ B9 d  V5 z2 @$ o! u  notify backup
0 A  q9 D: l* L8 V  ;;
fault)
  systemctl stop nginx
) f  g" C7 B$ W  notify fault
  ;;
# N: M* D' {/ T8 @9 u  [*)
1 u  R% O# p+ I9 \6 b% T' E  echo "Usage: $(basename $0) {master|backup|fault}"
' O4 t8 |5 f# d0 E9 `  exit 1
: y+ ~& c# t# ~7 Y   ;;
$ H1 L. I1 E4 o  w+ W% U7 v0 Gesac

, r8 K9 V; M3 A, y##配置示例
5 \9 ^8 Z. @' d3 l+ F2 ^* K% c[root@node5 ~]# vim /etc/keepalived/keepalived.conf
% h. }2 X: @( @9 J3 U$ _, vvrrp_instance VI_1 {
4 q- J4 g. Q+ m+ i......
+ C. Z" i0 h3 \! I    virtual_ipaddress {
        192.168.30.77/24 dev eth0 label eth0:0
  @& i$ }( E" T+ r    }
/ d* ]3 b# o5 M1 D' X( B& H    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
7 g0 s( ~8 ~5 O2 ?! v3 S, j. I% z    notify_fault "/etc/keepalived/notify.sh fault"
8 U* k4 y* D5 R7 D5 {}

  @) x( R2 i; Q( o8 A- \$ ?4 RVRRP Script 配置
分两步实现：

/ h# S9 J+ I, P5 X( T3 ~% W1、定义脚本
' L9 Z3 f" ?+ u' M, \
) H4 f; s5 Q! U2 c- n- `  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。
% B* k6 Q& b. p7 e% h+ ]
  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点
3 {% t5 E, _2 v- r5 _3 M& _( V( y
2、调用脚本
! c$ m3 U8 |) z. B% a
  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script
1 r; Z' q" b+ t7 ~1 x, l, h/ L
8 m$ k7 b6 K4 m8 H##定义VRRP script
  d! |) b4 M! C9 R  i" D" {3 Y! ?vrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
    script |  #shell命令或脚本路径
    interval [I]               #间隔时间，单位为秒，默认1秒
    timeout [I]                #超时时间
    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
}
& \! U6 V! S) q" @/ ^
##调用VRRP script
vrrp_instance VI_1 {
  i# {3 q7 S4 K2 l1 N    …
0 c; i5 `( i: a* h& E/ S# t    track_script {
5 s/ x7 c0 m: H) I, p3 h$ T5 V2 H, E( L        chk_down
  w6 c5 `% E: S5 w  }
}
实现HAProxy高可用
" x# M, O. K3 ?' o& ~4 _##在两个节点修改内核参数
[root@node5 ~]# vim /etc/sysctl.conf
[root@node5 ~]# sysctl -p
6 p! \2 r) u" W- W2 I+ n8 x4 lnet.ipv4.ip_nonlocal_bind = 1
" ?5 b" ^9 Y! I8 k#在两个节点先实现haproxy的配置
' \6 L3 M9 I8 E7 W' v[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
8 ~- }7 _9 I8 e( Tlisten stats
& }0 R9 U4 Q: A  mode http
  bind 0.0.0.0:9999
  stats enable
  log global
' [' v, t4 B# W& l! l  stats uri     /haproxy-status
  stats auth    haadmin:123456
  ?8 W0 o5 O& Y- A! M! Plisten  web_port
* n, E3 Z% R# E9 }9 n# L0 x* s7 W  bind 172.20.22.50:8899
  mode http
  log global
. h3 `" ]9 q  J4 l" i  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
$ z4 Q. V# O: B3 z  
5 W& `! k  x( L: b. a, H* f  
2 {/ E' A5 X* G* d( i$ q[root@node5 ~]# cat /etc/keepalived/keepalived.conf
, ?( i/ ~8 w1 A. H+ A, j2 b4 bglobal_defs {
   notification_email {
8 X% @# n( x1 b8 D- N8 S* v3 d     root@localhost
9 ^. r) Y0 t; C  f, ~! h1 h   }
   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
' T3 Y$ A( y' o! W3 X# ^   smtp_connect_timeout 30
  [. v4 o8 r! @! a" g   router_id node5                 #在另一个节点为node8
, G; m! N* l2 g% n0 {. I0 H   vrrp_mcast_group4 224.20.0.20
}
9 u& R( y& {  s& V  b3 xvrrp_script check_haproxy {        #定义脚本
) w4 b7 X' {$ M, J% D    script "/etc/keepalived/chk_haproxy.sh"
6 Y* u, i  ^, l" q+ G' Q1 O    interval 1
    weight -30
    fall 3
7 ]% \  P/ E/ |( o7 z    rise 2
# o' s/ v" |3 T, S) E}
5 J3 N/ Y. G2 ]; lvrrp_instance VI_1 {
" P7 d( p0 l) e! m# q6 ?    state MASTER                 #在另一个节点为BACKUP
    interface eth0
    virtual_router_id 65
5 p# V& A) `+ y' V    priority 100                 #在另一个节点为80
( W6 b8 r6 N* Z2 o    advert_int 1
. }  h! h& J5 E) B# _( A    authentication {
( b. ~5 o4 H6 C2 X5 v" O6 D        auth_type PASS
- [. Y4 H! d  Q) ]! |        auth_pass PbP2YKme
    }
    virtual_ipaddress {
/ z9 `( U6 t2 O        172.20.22.50/16 dev eth0 label eth0:0
, R4 n+ E7 b2 u/ T7 e    }
    track_script {
        check_haproxy            #调用上面定义的脚本
$ `: \; f- l4 o- ~, c    }
! J) s0 _6 D8 ]; ~    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault  "/etc/keepalived/notify.sh fault"
8 b* j6 v. j1 j}

[root@node3 ~]# cat /etc/keepalived/notify.sh
% Z* I, S3 d: Z! h3 I#!/bin/bash
, m+ ^. }, j  g- f#
3 r* \- f" F1 D2 _contact='root@localhost'
% Y* F+ R; m8 W7 t  r( K9 ?  ~notify() {
; f1 P, i+ J9 F& _3 {) K2 p% h  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
$ f6 G" d. e% V: s8 n8 v1 L}
0 x3 V8 {6 Y2 H( C! V; Ccase $1 in
4 Y+ t" `( x4 m& N0 c) j" Emaster)
  systemctl start nginx
  notify master
  ;;
/ f' K2 h( i* j& ]backup)
  systemctl start nginx
  notify backup
8 j8 @( s0 c9 C4 f+ J0 B% ]' `  ;;
3 l  {2 @/ [' R. m1 _! Efault)
5 c& \; `  _& e' y1 m  systemctl stop nginx
7 i' K2 K7 l% y1 w  notify fault
0 {6 c' K9 H5 {, j  ;;
*)
; _0 v$ x/ T. I/ q  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
   ;;
% \/ V( t0 U: }. N2 [4 }$ oesac

[root@node5 ~]# yum install -y psmisc
# ^; F/ T" ^6 @- f# M5 R5 c, ]7 O/ y[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
#!/bin/bash
: L. S$ T# v, P  m1 \, ?6 R# d5 Q/usr/bin/killall -0 haproxy