keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
keepalived使用
keepalived介绍
vrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务
8 M! p5 m7 N! Y0 }( I
3 r" {7 f8 g% A/ T; s" ?官网：Keepalived for Linux

, l/ q, F5 |4 x% W6 Q功能：

; Y4 G, r( C1 [: N3 A/ w

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
( D, |( {% p: `8 ]* W) QKeepalived 架构
2 j* S# w2 i; s! O. {2 b官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux
  a* }( X5 ]3 V: m) W& ]; A

用户空间核心组件：
7 Y6 ^  ^+ ^! v/ l% _5 q7 |[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]
- j& J, `2 G% d- b% m7 `

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
环境准备

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
keepalived配置
配置文件组成部分
* g' Z1 c. S7 p3 O3 h. d) c6 O  x: x配置文件：/etc/keepalived/keepalived.conf

配置文件组成部分：

# g9 a! a) J" z& S9 c. e8 ^% DGLOBAL CONFIGURATION
       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等
* P6 K$ D- J( S
VRRP CONFIGURATION
6 w6 \' j3 {; J+ F5 @- x, f% {% j       VRRP instance(s)：定义每个vrrp虚拟路由器
* q3 W: O$ y1 K3 F6 X: p  X
  ~- c' b* M4 _" RLVS CONFIGURATION
       Virtual server group(s)
9 r" {9 l5 W6 r" _5 ?1 ]7 E8 T
( {: w: K+ s" Q) {1 T       Virtual server(s)：LVS集群的VS和RS
$ e  v. Q) R" x6 J6 V
6 q, T2 x( u# f. q
4 [) d* [' A+ X, @1 ~配置文件语法
当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件

全局配置
3 u8 c  \+ E) O% A5 r. Z
global_defs {
   notification_email {
     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
1 [  N, Z* A1 y   }
   notification_email_from keepalived@localhost   #发邮件的地址
   smtp_server 127.0.0.1     #邮件服务器地址
   smtp_connect_timeout 30   #邮件服务器连接timeout
   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
6 N$ h( c( G% }3 q: h9 ~" O. \   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
}
/ U. _: y, b; O) ?9 [2 t) `/ X
- U: y$ r/ ~" M5 ?+ J; _3 Einclude /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
配置虚拟路由器

. l) G& o, H$ q9 C  fvrrp_instance  { #为vrrp的实例名,一般为业务名称
) Y' R) [: N# w" S. c+ F1 s6 g5 l6 D  配置参数
  ......
}
5 F( q5 M* X8 f, }3 M: |#配置参数：
8 j; j/ {  n; F; j( X6 J, rstate  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
/ Q, m% Q  y! `' E3 A5 Minterface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
! \& D. \7 p2 n# n. Fvirtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
5 ]) m5 G  }7 Hpriority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
advert_int 1       #vrrp通告的时间间隔，默认1s
3 V. W, L  ?8 ^8 ^1 t  h  R8 Gauthentication { #认证机制
9 v- A: ?/ m# r- ]; O# e3 u  auth_type AH|PASS
  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
: R$ Y/ u7 |2 j, I4 u; H}
virtual_ipaddress { #虚拟IP
% v( u* a) y% t; z( h8 ^6 f% A    [I]/ brd [I] dev  scope  label
  A& I3 C% V7 X3 H" v8 b# l    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
    192.168.200.101/24 dev eth1                 #指定VIP的网卡
/ c4 z/ ?5 u0 t2 N8 d: I" ]( z0 v    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
}
: {: ?5 T& T9 a$ P( L  etrack_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
    eth0
    eth1
) @: {; W/ I5 ?6 H- E' L" i    …
: s6 q+ S) J- V' c& R# u}  
7 {- e( F  g5 g+ D启用keepalived日志功能
[root@node5 ~]# vim /etc/sysconfig/keepalived
" ], K1 h& W4 PKEEPALIVED_OPTIONS="-D -S 6"
[root@node5 ~]# vim /etc/rsyslog.conf
; T6 E# s+ Q6 Q, T5 H3 llocal6.*                                                /var/log/keepalived.log
/ r6 r1 P4 k! M$ K3 P[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
5 y  i. K% [1 ^1 j[root@node5 ~]# tail -f /var/log/keepalived.log

二、keeplived 结合nginx 实现高可用
* c; N7 R) J6 X# qkeeplived+nginx节点1:172.20.21.170

, K2 x! K4 a& R1 Akeeplived+nginx节点2:172.20.21.175
# F% e& w  t6 I+ c) j
后端web服务器1:172.20.22.11
6 H) B  O  E4 b$ n1 e6 `7 L
/ u6 b6 h2 v, C( b, o. f后端web服务器2:172.20.22.12

#先准备好两台后端web服务器
% I2 ^3 U. y& z( l0 Y: i, S[root@localhost ~]# yum install -y httpd
[root@localhost ~]# echo 'web1 172.20.22.11'
/ A4 J+ ?& H7 R. \7 S[root@localhost ~]# systemctl start httpd
#访问测试
[root@localhost ~]# curl 172.20.22.11
6 v* E1 N. a- O9 yweb1 172.20.22.11
6 O. j3 t7 {) ~  f[root@localhost ~]# curl 172.20.22.12
1 ]& Z8 q' c" H2 A' q' U* {" Oweb2 172.20.22.12
5 q* O; v/ E5 l3 i9 ?' V
8 C. H8 }! t* t6 X4 `2 W#在两个节点都配置nginx反向代理
[root@node5 ~]# yum install -y nginx
& L% j7 H& ]2 W[root@node5 ~]# vim /etc/nginx/nginx.conf
/ I/ K; U( n8 A( F% C1 j* }2 j1 Ehttp {
    upstream websrvs {
1 X. @) `" e7 _; V4 N' S        server 172.20.22.11 weight=1;
        server 172.20.22.12 weight=1;
% V8 s' M: d  {    }
* X* e) b2 c% ]' \    server {
        listen 80;
        server_name www.a.com;
        location / {
            proxy_pass http://websrvs/;
0 M% V  z0 W/ r* w# @: h" T  B        }
! S2 J8 p. y4 I3 E    }
, l5 N$ q' w/ h. x}

6 h) Q/ y& F+ \#在两个节点都配置实现nginx反向代理高可用
8 C; F: C. }5 p, ^6 j" i% X1 y2 o[root@node5 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
2 h& J4 e, {  z8 z' ~   notification_email {
: ], L9 n/ K" l+ U0 h     root@localhost
9 L! V  s' ]% u6 {) X  t   }
- {, H6 q9 w: I9 n$ Y   notification_email_from keepalived@localhost
$ c$ z0 N" f3 q9 M9 B   smtp_server 127.0.0.1
   smtp_connect_timeout 30
   router_id node5               #另一个节点为node8
3 p2 v4 ?  b* B/ t   vrrp_mcast_group4 224.20.0.18
}

" d! d: i! y+ Tvrrp_instance VI_1 {
1 w$ J7 v% |6 d5 P, G: l; {    state MASTER                   #在另一个节点为BACKUP
    interface eth0
    virtual_router_id 65
    priority 100                   #在另一个节点为80
3 d$ T. l9 w5 ?* Q, H  s    advert_int 1
; P1 H9 D9 L' Z5 l! f) Y    authentication {
( ~& V, g8 l' B7 Q0 U        auth_type PASS
        auth_pass PbP2YKme
    }
& j/ Q& Q7 r/ q; x    virtual_ipaddress {
        172.20.22.50/16 dev eth0 label eth0:0
    }
. Z2 C: i% r8 ~3 M# O}

1 D2 s% Y3 J3 y( U[root@node5 ~]# cat /etc/keepalived/keepalived.conf
, B: I" M" ~. }7 R! W2 [9 Y) \[root@node5 ~]# systemctl start keepalived
1 @  T' E( o9 a0 A/ T[root@node5 ~]# ifconfig eth0:0
  @. [8 z  k4 c# L* geth0:0: flags=4163[U]  mtu 1500
3 b8 [0 A2 x! t5 C% x        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)
+ \! e7 z5 `/ \0 Q% K. @5 m
) P% I* d4 h' L9 Y' K( j8 X##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
6 @6 ^6 n2 S9 P- V' O% a/ g[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
: F  W  G2 ^2 o' s- {' E4 Z" Nweb2 172.20.22.12
web2 172.20.22.12
web1 172.20.22.11
web2 172.20.22.12
: y7 h% o/ {& l1 Wweb1 172.20.22.11
6 |7 M, ~) Z# L0 o2 M
. x7 I0 x. f# u) S+ C三、keepalived脑裂产生的原因以及解决的办法
keepalived脑裂产生的原因
脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。
& J+ g1 o  i/ e1 m3 m0 S& }
, Q3 E. g* U% ?" Z1 u  E+ E" \一般来说裂脑的发生，有以下几种原因：

3 F# i7 i5 G- A% P/ y[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
7 K* o! w6 h# n- D' M7 Gkeepalived脑裂解决办法
一般采用2个方法：

  q$ P4 w$ y( j) [( T) N: F1、仲裁

  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。

9 D# O, o, n; x7 y  Z2、fencing

  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备
( R& L; F, u3 i+ O3 @' q8 K* M

8 v3 o' W6 ~5 R$ u; `0 g( J' `四、实现keeplived监控，通知
5 ]( x1 ]% j# S, y3 skeepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能
% _6 o3 M* a! s) v7 G8 X
$ d1 t7 b; b4 f$ X3 G: z实现Keepalived 状态切换的通知脚本
#在所有keepalived节点配置如下
[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
#
- P9 z7 I! G. ccontact='root@localhost'
notify() {
- ]1 C. r$ y$ m4 l+ j- h( H  local mailsubject="$(hostname) to be $1, vip floating"
2 j0 g8 E/ K; U; _3 T0 M6 E4 v5 b  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
* d6 x5 f  A" M" l  echo "$mailbody" | mail -s "$mailsubject" $contact
}
4 s8 ^6 P  {' ~3 m+ e1 \case $1 in
9 v$ h" _5 ~8 \( Lmaster)
  systemctl start nginx
3 L  G: z- d& l: K$ h' u  notify master
  ;;
4 `6 s3 _. L. g; N! i% I/ t& qbackup)
  systemctl start nginx
; c1 s/ u$ W5 {& N- M7 H  notify backup
5 u3 S% {& Q) S8 P0 i8 G0 ~  ;;
, j! e& C* {; a. ?9 {8 j! gfault)
  systemctl stop nginx
  notify fault
) K0 ?- k  ]: \7 X2 R, k  ;;
*)
" y$ a6 k& W# T: ]. X$ ^  echo "Usage: $(basename $0) {master|backup|fault}"
" t: M' L& r: D/ Q4 ~" b7 L  exit 1
   ;;
" i& t/ K" H! j0 }4 Q7 ~esac

3 E" S% t4 M6 r' ~: g##配置示例
[root@node5 ~]# vim /etc/keepalived/keepalived.conf
vrrp_instance VI_1 {
6 m* A/ D7 W) u% K* x. F......
    virtual_ipaddress {
5 Q( J* n$ r7 G' Y+ s" W        192.168.30.77/24 dev eth0 label eth0:0
0 U3 z0 N# R2 b    }
    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault "/etc/keepalived/notify.sh fault"
}
" v# _& I( \; p  o' z
VRRP Script 配置
分两步实现：
- X8 j6 `* s3 f# W$ H1 ?2 X
6 X- g; ]7 A* H9 p1、定义脚本

9 ^2 [1 O/ m/ x( t! b  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。

$ l9 k7 @6 X! t. g) S0 Q) O# m& C0 F  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点

  w' L, u& t2 u. V2、调用脚本

& L1 ~8 ~; c& f; N5 G# w  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script
& e" w- i0 Y  L6 f
##定义VRRP script
  M9 h( I' P  [) r# J8 Rvrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
0 z' I8 @+ t) K: R0 y4 M8 n    script |  #shell命令或脚本路径
* m; }! h( n; a; V    interval [I]               #间隔时间，单位为秒，默认1秒
    timeout [I]                #超时时间
    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
3 z) C$ @5 a# y: }, }- y6 H    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
}
+ R6 h" |* B' Y! A' p% V
. \( w5 \3 k8 Q7 @+ D+ u##调用VRRP script
7 t) S2 ~7 v$ H" d: avrrp_instance VI_1 {
, G4 S6 |9 G' I8 L    …
    track_script {
6 f% R) M( H+ y7 G, v        chk_down
  }
) z, ~% [) N, f) O! k, X}
实现HAProxy高可用
( E7 s+ l' V4 g. w5 E0 m) Y/ i% I##在两个节点修改内核参数
$ Z6 I( L- n0 V( b: l[root@node5 ~]# vim /etc/sysctl.conf
: |# ?5 M0 j& I5 Y, b6 i[root@node5 ~]# sysctl -p
net.ipv4.ip_nonlocal_bind = 1
: a1 v7 v8 z# f; A' O$ [+ A#在两个节点先实现haproxy的配置
: m- U) L0 ^: |# ?7 L" B[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
( n+ a$ z3 f) K7 h& e+ elisten stats
5 S- Q9 D+ E1 V: r' F: D) R8 W  _  mode http
6 K8 |% S. B2 a$ B  bind 0.0.0.0:9999
  stats enable
" p$ }: h2 x* o8 y  log global
  stats uri     /haproxy-status
  stats auth    haadmin:123456
- I% Q: `) L* ?8 G9 V' V+ i* ^listen  web_port
. s( F5 `; c6 |4 R* Q  bind 172.20.22.50:8899
  mode http
' V0 \- S) u( f, I) z+ y5 P) F; v  log global
2 [, ]* Z% O5 X4 U: h3 E6 I  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
* |* s8 r% a, H9 ^! }  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
0 a% x8 I0 {6 b7 S" k" z0 \3 R/ V  
  
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
  M% ~" H8 h* p9 @, ^* O   notification_email {
, ?9 K3 c0 ?. h2 w+ |4 r* F     root@localhost
   }
   notification_email_from keepalived@localhost
( I4 @3 x/ H* z   smtp_server 127.0.0.1
   smtp_connect_timeout 30
) {7 ], F' ~' A   router_id node5                 #在另一个节点为node8
   vrrp_mcast_group4 224.20.0.20
. ?: v$ r0 `4 y% |}
vrrp_script check_haproxy {        #定义脚本
: g. L" |1 C! N7 w7 m' a2 |1 [    script "/etc/keepalived/chk_haproxy.sh"
! t* n- Y1 I$ Q( A    interval 1
9 \# r" A% u7 Q8 j) u& C    weight -30
" ?% S9 O" D( c: B2 ]; y2 Z  L    fall 3
    rise 2
6 D' a6 c$ l9 M* q}
vrrp_instance VI_1 {
' S% Z% @, \" }$ G" _    state MASTER                 #在另一个节点为BACKUP
' l$ G& |$ `: u1 N% y# w' @# q    interface eth0
    virtual_router_id 65
    priority 100                 #在另一个节点为80
6 ?# F; c0 E& h) [& ?    advert_int 1
    authentication {
- p; n4 ^, q( F! m: g% j/ |8 Z! v7 X( k        auth_type PASS
& E0 \9 ]. ^- q9 i        auth_pass PbP2YKme
    }
    virtual_ipaddress {
- ~4 s+ a5 O8 n( ~+ v        172.20.22.50/16 dev eth0 label eth0:0
; _4 k6 X" [, ?    }
6 {7 H/ p6 {: _( G    track_script {
% h" `3 o) e4 u1 ?. B        check_haproxy            #调用上面定义的脚本
    }
    notify_master "/etc/keepalived/notify.sh master"
/ a5 q( K- g: N1 E    notify_backup "/etc/keepalived/notify.sh backup"
: ~  ~3 X7 [) V  U! N# U    notify_fault  "/etc/keepalived/notify.sh fault"
}
8 [5 ]3 e/ W; J) A& r* |
[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
#
7 g! s: `/ V# ?contact='root@localhost'
3 T1 {6 V% g% k, M% Onotify() {
  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
! w1 D5 M( W; J& N1 n  echo "$mailbody" | mail -s "$mailsubject" $contact
}
case $1 in
) f7 z6 u8 M8 V) A4 dmaster)
  systemctl start nginx
  notify master
1 a/ L& m# |. l. G! f  ;;
( E  B& E' c+ dbackup)
  systemctl start nginx
  notify backup
9 g" @% w: X. U- |7 O% G" R  ;;
fault)
  systemctl stop nginx
  notify fault
- F9 g; Y6 c$ l6 j  ;;
*)
  echo "Usage: $(basename $0) {master|backup|fault}"
( A7 P+ z" v2 P6 E6 i  exit 1
, M! j' r8 l" y' F/ ^' Q$ E3 M   ;;
esac
! K* C) E' Z9 {' z' h
[root@node5 ~]# yum install -y psmisc
[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
#!/bin/bash
/usr/bin/killall -0 haproxy