keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
  R2 @7 k3 g) ?/ v$ y. |5 Ckeepalived使用
keepalived介绍
1 S! S  {& C' S% W" L% t( @4 Svrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务

( q) ]$ D2 O% L* ]官网：Keepalived for Linux

6 @- A. T, e5 F, |7 c, Y) \功能：
& ?- K1 [8 D/ u' h

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
Keepalived 架构
官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux

8 a$ g) M/ y+ |$ ~% @# `! l  w

用户空间核心组件：
[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]
( R3 m' ]" J; ]  C

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
环境准备

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
- p/ L- V2 B9 o$ z- ^( r7 ckeepalived配置
配置文件组成部分
+ H8 e! i) @, R0 i. _配置文件：/etc/keepalived/keepalived.conf

配置文件组成部分：
- V& U" x: ^- E  U1 X
GLOBAL CONFIGURATION
- V/ M4 [* a, G$ Y& Q$ v* }5 E       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等

8 h/ t; ?% E0 S% X" TVRRP CONFIGURATION
) r; ?3 d- w" F9 S8 D       VRRP instance(s)：定义每个vrrp虚拟路由器
1 H. f. l- a) E+ w& E
" ^5 `: o( j( f. J" [3 Q% v. hLVS CONFIGURATION
0 l- I! h: e+ E! ^2 B       Virtual server group(s)
- B* Q0 e( Z5 ?- @
1 f- t* c8 I0 U. @+ _) O       Virtual server(s)：LVS集群的VS和RS


配置文件语法
2 z8 R9 @: K% r2 w+ t当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件

" u& `4 S. {( o! ^& e3 I* ^" o: q全局配置

! w- E! d# I6 Y7 D! H* M2 rglobal_defs {
# Z. t3 p7 B0 n1 I5 x/ `   notification_email {
     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
   }
   notification_email_from keepalived@localhost   #发邮件的地址
/ A3 q  B# z2 k" A5 B  N( g, i* c   smtp_server 127.0.0.1     #邮件服务器地址
( ~4 S9 L) k) H$ M0 _, K1 X   smtp_connect_timeout 30   #邮件服务器连接timeout
   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
1 S9 ^! F, |) r8 K! U   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
* L6 r1 l) i$ {: d) l; C+ u   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
+ a" t! D0 E1 E* V* Z4 b' p' B   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
; O' d" P& q# z' a9 r" h% H. B% l   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
}

include /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
1 z. S1 c9 a$ L9 D1 I配置虚拟路由器

4 i6 y$ A4 l, S) l0 I* @vrrp_instance  { #为vrrp的实例名,一般为业务名称
' J4 n+ u1 ^2 H  P  e! z& h  配置参数
  ......
0 o8 l. \$ a' j}
#配置参数：
state  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
interface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
( M: b# _9 z- {1 Q) L4 Vvirtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
# p& E1 {8 @5 ^/ n5 m; i" Q* V5 m$ Spriority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
advert_int 1       #vrrp通告的时间间隔，默认1s
authentication { #认证机制
  auth_type AH|PASS
5 |) u- J6 Q! ?  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
" x1 x, j. |2 u  S- Z6 r/ |; M}
0 o# Z( s! W/ Q6 S% F" nvirtual_ipaddress { #虚拟IP
8 J$ [" D- n* Q1 C, R6 I. o0 q    [I]/ brd [I] dev  scope  label
    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
( D- l% Y/ Q8 o1 _7 n    192.168.200.101/24 dev eth1                 #指定VIP的网卡
    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
}
track_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
    eth0
5 `' [# w1 E. W6 I# P    eth1
" y9 U. I8 P7 k$ p" y8 G7 r4 @3 A    …
1 W" i! G1 ~/ n( a: U& w}  
启用keepalived日志功能
, x' w% o4 `; ~+ D6 ?[root@node5 ~]# vim /etc/sysconfig/keepalived
. u% h6 N5 _1 i3 i; H$ FKEEPALIVED_OPTIONS="-D -S 6"
[root@node5 ~]# vim /etc/rsyslog.conf
local6.*                                                /var/log/keepalived.log
[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
; i! f; t/ G' X[root@node5 ~]# tail -f /var/log/keepalived.log
: I/ @$ |1 C  n7 \2 H
二、keeplived 结合nginx 实现高可用
keeplived+nginx节点1:172.20.21.170

: e# y, @" @, {/ O: Jkeeplived+nginx节点2:172.20.21.175
4 z# r/ ^& ~: X& s* A% `- y/ o
. J* w3 B6 Q' a  q5 O! m后端web服务器1:172.20.22.11

后端web服务器2:172.20.22.12
3 I8 F* w  c, z4 c
1 |, [$ B' s3 N; _2 Y; M#先准备好两台后端web服务器
[root@localhost ~]# yum install -y httpd
! }( ?; H) r7 s# C[root@localhost ~]# echo 'web1 172.20.22.11'
[root@localhost ~]# systemctl start httpd
#访问测试
+ g5 o2 h- Y& N. V9 R[root@localhost ~]# curl 172.20.22.11
web1 172.20.22.11
[root@localhost ~]# curl 172.20.22.12
3 y% N. C% O' S& |, t2 y( `web2 172.20.22.12

#在两个节点都配置nginx反向代理
[root@node5 ~]# yum install -y nginx
[root@node5 ~]# vim /etc/nginx/nginx.conf
# V! a1 J9 Z. O$ K  E5 l9 `7 S: Xhttp {
$ N) C5 C! h; U. m, z    upstream websrvs {
        server 172.20.22.11 weight=1;
        server 172.20.22.12 weight=1;
* W& |( |, i" [5 }- w! X: M! ^    }
    server {
& R! }' ]0 o  `. u        listen 80;
3 j& G3 @, {/ V/ R  E1 k# }# {4 y        server_name www.a.com;
        location / {
: Y. l  o6 M4 T, V2 M            proxy_pass http://websrvs/;
        }
    }
}

#在两个节点都配置实现nginx反向代理高可用
9 q" e. c! l- [  [2 \  s& v) y[root@node5 ~]# cat /etc/keepalived/keepalived.conf
5 C/ Q5 M$ f& e* d& ]global_defs {
   notification_email {
7 b9 z" O& k$ a     root@localhost
+ n5 h7 k; W) a9 @7 N   }
   notification_email_from keepalived@localhost
/ `- B0 u/ c. m# A. p( R  W   smtp_server 127.0.0.1
, C1 ~- M8 {) ]   smtp_connect_timeout 30
" }/ A( {  u* K3 e, J' S   router_id node5               #另一个节点为node8
   vrrp_mcast_group4 224.20.0.18
6 b/ X+ A/ K% G- b}

5 l- D! u# Q4 L0 X0 ]vrrp_instance VI_1 {
( ~$ G1 E  B7 s, y* r8 W2 v. T+ H    state MASTER                   #在另一个节点为BACKUP
    interface eth0
    virtual_router_id 65
3 n) ]; j% l! V3 ?6 R/ F, B6 ^! C2 H    priority 100                   #在另一个节点为80
    advert_int 1
    authentication {
        auth_type PASS
/ u) I) V9 F* p! ~& q! b% U0 e        auth_pass PbP2YKme
    }
    virtual_ipaddress {
3 {+ R' L2 Q" l& H        172.20.22.50/16 dev eth0 label eth0:0
    }
}

[root@node5 ~]# cat /etc/keepalived/keepalived.conf
5 M* L  V5 a3 X: m2 e; [6 {. U[root@node5 ~]# systemctl start keepalived
" w8 T9 G. v5 d; Y; y3 W; l! N8 W  H[root@node5 ~]# ifconfig eth0:0
) q6 m9 c1 K4 U/ v& i$ f: t, jeth0:0: flags=4163[U]  mtu 1500
. M+ A8 V! h5 u& {" V6 G" Y        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
+ a; u% j% |; {& g( ^4 A/ ~8 F        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)

##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
web2 172.20.22.12
web2 172.20.22.12
web1 172.20.22.11
web2 172.20.22.12
. q6 N* P4 T/ ~/ C$ q9 X# Vweb1 172.20.22.11
+ t' P1 j! z! ?$ X+ S% Y: R
三、keepalived脑裂产生的原因以及解决的办法
% V& ^! h0 e/ ?% Y+ `. o& S& z$ ckeepalived脑裂产生的原因
! V/ k: j& w5 k# k$ k脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。
3 }% u& h& c0 F. X% W
$ u5 Z+ u6 d: h4 l8 `# A一般来说裂脑的发生，有以下几种原因：

[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
! \7 K; _3 e: A- Jkeepalived脑裂解决办法
' e. e! z* V! e一般采用2个方法：
; q6 I6 B! G6 {$ B3 w) {: P
1、仲裁

) b& J- L* `  l. J: D# c' ~9 t5 W  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。
4 o2 R8 |9 J/ R: g, r/ Y
2、fencing
8 e: r& c9 y4 I9 s+ ]' o5 k
, E0 C- F  F1 f! S  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备
- W+ h+ \4 T! r2 H9 U4 t4 [

( P/ d  l% ?* F; n四、实现keeplived监控，通知
, L+ Y% P: z2 m: M2 F7 h3 Gkeepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能
/ V5 S- Q; f) v
实现Keepalived 状态切换的通知脚本
#在所有keepalived节点配置如下
4 z) B9 ?+ o6 I' R[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
#
0 T" n2 ?9 j( p4 k) O' d) bcontact='root@localhost'
notify() {
  H# N$ W+ G! R& M  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
& \$ E4 E$ \* R, }4 @# ?' c- M}
1 x! y+ l# q% v( D3 Rcase $1 in
master)
  systemctl start nginx
- e# _/ N" X/ C- \! D. w0 e  notify master
( ~5 u+ x, P6 h$ @  ;;
backup)
  systemctl start nginx
  notify backup
  ;;
7 P6 I& J1 [4 G( gfault)
1 X, \( U* c, l% ]: e' }  systemctl stop nginx
  notify fault
  ;;
8 ]- I1 a4 \, K) h- w0 @*)
. z, V' L* r+ N$ C! ~  echo "Usage: $(basename $0) {master|backup|fault}"
7 ?( s" w" `1 n. ~2 z+ p- Q& v  exit 1
   ;;
esac
7 F# ^2 [: T( B" _1 x$ z1 n
##配置示例
. T# D+ p* u$ S  y[root@node5 ~]# vim /etc/keepalived/keepalived.conf
vrrp_instance VI_1 {
  j7 E6 i  V& O) V- P% r2 ^7 R8 v......
( J( n- n8 }# @4 z7 o    virtual_ipaddress {
        192.168.30.77/24 dev eth0 label eth0:0
    }
5 m7 U" C# e+ a2 n    notify_master "/etc/keepalived/notify.sh master"
0 X( G& I# _' \6 C! M    notify_backup "/etc/keepalived/notify.sh backup"
' y! ~1 d" J0 \6 u9 H( m* q; j    notify_fault "/etc/keepalived/notify.sh fault"
}

VRRP Script 配置
分两步实现：
1 ~! H! }  p; t
' K* f) F! Y' H" x' z1、定义脚本

  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。
7 p9 A( D! d3 z$ h" c% q1 l0 |
9 m7 ~( `6 z6 E* ]7 y8 t1 R  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点
4 e! u4 y; ]4 Y* n
2、调用脚本
( @$ l3 Q9 d# r. |& E, `: l
) z/ Z6 q3 Y5 \5 r- W  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script
( @8 s3 j! [1 t: {
##定义VRRP script
vrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
    script |  #shell命令或脚本路径
* D: T+ R! D8 W  m8 `8 p    interval [I]               #间隔时间，单位为秒，默认1秒
    timeout [I]                #超时时间
    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
7 `, s* u7 g& p# q    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
0 \5 K- l- [6 T# I1 z    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
}
" q8 W7 J, R2 K2 I3 {
##调用VRRP script
vrrp_instance VI_1 {
    …
    track_script {
        chk_down
  }
}
. [& v$ |3 z6 a# m% ]4 r! G; ]实现HAProxy高可用
$ _: h% Y, z5 K2 s! A##在两个节点修改内核参数
" X/ A) z1 B6 n( N# d; f  x. g! i[root@node5 ~]# vim /etc/sysctl.conf
[root@node5 ~]# sysctl -p
net.ipv4.ip_nonlocal_bind = 1
#在两个节点先实现haproxy的配置
: Q" g+ u$ D& x/ q) c* @[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
5 Q' [, ]# L5 g. F; {- o8 a+ i; Mlisten stats
3 E* S3 J2 a  k" ~  mode http
3 m6 c* C" {- _  \  bind 0.0.0.0:9999
2 I7 j3 D  `" a) Q" Y+ `  stats enable
" b. T: A; P/ m( X% [  log global
/ A8 Z* H$ {1 W  ~9 Y4 b! u  stats uri     /haproxy-status
  stats auth    haadmin:123456
4 W; T7 D  E9 w! \  M( @. rlisten  web_port
+ h. b4 @' l' |$ W3 V  bind 172.20.22.50:8899
  mode http
  log global
  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
  
9 j' Y2 o& t' r3 I1 q  e. ~  
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
+ n9 _+ H2 h2 @+ v4 }% A0 ^" y   notification_email {
     root@localhost
   }
# I  r+ v: f5 l/ N. R   notification_email_from keepalived@localhost
& Q* t# R; A! X9 ?   smtp_server 127.0.0.1
   smtp_connect_timeout 30
& W7 U% z8 v1 y6 r6 R- J! R   router_id node5                 #在另一个节点为node8
   vrrp_mcast_group4 224.20.0.20
$ g; V6 F1 s7 b* k, k  F+ e* S}
% a" M3 O% U( k9 r  [5 {vrrp_script check_haproxy {        #定义脚本
. n% z, I3 e, A0 `8 y2 K    script "/etc/keepalived/chk_haproxy.sh"
6 ~. ?' A. ~! p- t" |+ D" [! g    interval 1
    weight -30
% j1 l# f1 ?! O) [    fall 3
/ Q/ @! N$ f! Y( Z) p% i$ I    rise 2
- v5 O( l2 `$ V}
( V: ]+ q) `% Avrrp_instance VI_1 {
. y$ W. E* x# P. k0 @  L/ c    state MASTER                 #在另一个节点为BACKUP
2 N2 R* \( ], |' u' _) [    interface eth0
    virtual_router_id 65
, I2 T6 j. V( F! p; e    priority 100                 #在另一个节点为80
5 g  r1 m2 f2 `& M7 x& ?6 _    advert_int 1
3 M2 O: p8 n2 D# w+ [% a) B9 H    authentication {
        auth_type PASS
, S; q3 G* C" a: i+ r        auth_pass PbP2YKme
    }
    virtual_ipaddress {
        172.20.22.50/16 dev eth0 label eth0:0
    }
    track_script {
* |% @# o: y0 a) ]& U% q4 {        check_haproxy            #调用上面定义的脚本
    }
5 H! g) R" J' x6 s( T    notify_master "/etc/keepalived/notify.sh master"
+ ]; ?$ V1 g0 p1 {- _/ M3 W    notify_backup "/etc/keepalived/notify.sh backup"
: F3 o6 _+ k! A  |/ X' x    notify_fault  "/etc/keepalived/notify.sh fault"
; @/ z" D3 E% c1 |+ I; Y}

' o7 U4 Q" k# z7 H5 Z1 V[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
#
, o# o5 Q7 m# ^" i6 q. Hcontact='root@localhost'
notify() {
: Y3 ]  h+ y; t4 x. Z4 P3 {9 _+ W  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
}
7 p7 `2 ~, c; Z, s. N) E% ^0 H# ycase $1 in
master)
  systemctl start nginx
  notify master
. L7 x$ ~9 \6 b/ j  N  ;;
4 R: X. ]) h  Jbackup)
0 H  p4 Q% e" s* @. t! x/ k4 _7 ~  systemctl start nginx
  notify backup
  ;;
0 @7 I1 x5 ~1 O6 Q* B. ffault)
  systemctl stop nginx
0 m7 O& Q0 I. R9 f1 u$ A& z) i  notify fault
/ J! g9 _& v" [0 R( K( C  ;;
*)
  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
   ;;
; Q; S( l! n( U% S9 n! R; cesac
8 T3 K# @( f4 A% z, \9 T
( e8 k0 L8 e- B2 N# d1 V$ M) C[root@node5 ~]# yum install -y psmisc
# P( F+ _+ j0 ]0 g  ?[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
' b" `* T3 O, J8 c#!/bin/bash
1 U* X2 V  B- }# O6 k/usr/bin/killall -0 haproxy