keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
8 Z1 t+ i1 W" ?# N/ }keepalived使用
1 a" e. t8 v: G$ p! [! Tkeepalived介绍
* M# b7 {$ R( d. _+ U- u- {* Bvrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务

官网：Keepalived for Linux

6 T# ?6 F: K1 o6 b, e7 h$ _功能：

: l7 u- W9 ^  ?! }  n& B6 t4 R3 T

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
5 S6 G+ S0 O% w. eKeepalived 架构
8 Y; L0 S  [  n: F8 ]官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux
3 o/ g3 S" x+ o5 w' m. Z! K4 V

用户空间核心组件：
5 u6 w$ \7 }0 p; y% ]% X1 i; l[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
环境准备

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
8 U( z/ D1 q) u8 |/ Rkeepalived配置
% t- U; f- ]- Z7 [" q配置文件组成部分
配置文件：/etc/keepalived/keepalived.conf
" ]7 G% `$ C0 D
" B1 G( z2 S1 x4 ?配置文件组成部分：
9 L" x) L' Q) Z
GLOBAL CONFIGURATION
       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等
% }2 Z! {$ a) {% ]
VRRP CONFIGURATION
$ R4 r' x& |: f, p( x" a       VRRP instance(s)：定义每个vrrp虚拟路由器
! Y0 l8 u( R8 A$ l$ J' ]
LVS CONFIGURATION
, y! N( O2 W' Q1 c       Virtual server group(s)
; k& y+ m$ n- o: r, H. d& Y
5 j* b% ?( |4 O6 c; e       Virtual server(s)：LVS集群的VS和RS
' V# A% |8 z$ g+ a0 b7 [

配置文件语法
4 ^1 J3 X1 v' o* B6 e' M! P当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件

全局配置

4 L% Y! G% ]9 _' A: X6 cglobal_defs {
   notification_email {
# {* t, S) Z: v# V( ?7 I+ i  P4 m& a     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
% k5 Q7 {- t* S  v: ^* u$ R   }
+ S1 i) s9 v0 C$ A, x+ ~   notification_email_from keepalived@localhost   #发邮件的地址
   smtp_server 127.0.0.1     #邮件服务器地址
; W) Z, ]5 p& F, t# J   smtp_connect_timeout 30   #邮件服务器连接timeout
: r" @% a9 u+ U0 ?3 m, t& M; C   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
2 Q" f2 r) ^0 ~) L9 D0 m   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
/ q0 A  I5 D4 ?+ d   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
6 q- h8 @7 m; _* J( l3 ~}
; W& r$ n* ]% |. }( F# `
* R# l7 _% l3 l# Q6 F  r3 Z6 Y1 u/ Ainclude /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
配置虚拟路由器

vrrp_instance  { #为vrrp的实例名,一般为业务名称
. F" M9 D# o4 M  配置参数
' l9 S$ G( j% E* F  ......
}
$ S7 G. V/ f) \2 v#配置参数：
state  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
0 h& |8 T3 {8 Y) [4 O* b( ?+ ~interface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
  O8 Z! k7 k$ Mvirtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
, D4 W  P  a% P6 x. _9 ^* {priority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
advert_int 1       #vrrp通告的时间间隔，默认1s
# N  q/ u5 _& R* @+ R- s0 @3 b3 I4 iauthentication { #认证机制
  auth_type AH|PASS
+ Z% p, Q9 c  m) c7 N  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
1 P  y1 l+ O2 D" c7 a}
virtual_ipaddress { #虚拟IP
+ t; i. a, Y2 f3 l8 U9 |    [I]/ brd [I] dev  scope  label
. ~4 l3 ?7 ~0 M/ p4 a& S# z    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
+ l# @: i2 z# G7 j    192.168.200.101/24 dev eth1                 #指定VIP的网卡
% Z3 C2 V- m* R5 W. B; m9 Z, b: e& k    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
; F! D8 v) R' J' j9 V2 W4 l- N}
0 A2 L) i9 x+ U% {: p; i" Itrack_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
" a/ A0 a( m3 d# R- g    eth0
    eth1
) M7 t/ N9 O& R    …
}  
启用keepalived日志功能
[root@node5 ~]# vim /etc/sysconfig/keepalived
KEEPALIVED_OPTIONS="-D -S 6"
[root@node5 ~]# vim /etc/rsyslog.conf
local6.*                                                /var/log/keepalived.log
8 {2 q$ _2 {5 B8 F  V[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
; W( d* x/ `- o" ?0 t[root@node5 ~]# tail -f /var/log/keepalived.log
+ ^0 [/ q! ], p6 ]. [$ Q; [" J
; Q8 ^" T2 P6 O4 A3 @) R二、keeplived 结合nginx 实现高可用
$ t8 H+ O: k# E$ xkeeplived+nginx节点1:172.20.21.170

2 D+ n7 J; k& B" hkeeplived+nginx节点2:172.20.21.175

* v, I3 z& b7 F! `3 }  U后端web服务器1:172.20.22.11

后端web服务器2:172.20.22.12

#先准备好两台后端web服务器
[root@localhost ~]# yum install -y httpd
[root@localhost ~]# echo 'web1 172.20.22.11'
[root@localhost ~]# systemctl start httpd
#访问测试
[root@localhost ~]# curl 172.20.22.11
9 Z8 m8 T% ^4 z( j0 K1 n9 Sweb1 172.20.22.11
5 ^. H3 L" V: O* ?: x; w) B- I[root@localhost ~]# curl 172.20.22.12
web2 172.20.22.12

0 j9 z( T' @: P; R; N- T7 {#在两个节点都配置nginx反向代理
9 b* J1 V0 U1 R+ C7 t5 Y[root@node5 ~]# yum install -y nginx
[root@node5 ~]# vim /etc/nginx/nginx.conf
http {
    upstream websrvs {
/ g& A4 U" c! `! k        server 172.20.22.11 weight=1;
+ @3 J0 |" S4 a. g3 n( q        server 172.20.22.12 weight=1;
" i- \2 ~; _6 h    }
9 p. M% }$ h, s9 L    server {
        listen 80;
4 T5 M6 v+ m. [- b        server_name www.a.com;
) u. {- o, n1 \2 X& s( l  N) _3 ~5 J        location / {
% i4 T* k4 C- _' p            proxy_pass http://websrvs/;
' ]8 N: V7 s3 _        }
    }
}

#在两个节点都配置实现nginx反向代理高可用
& J8 S3 B8 u. ]3 L! o% K( w[root@node5 ~]# cat /etc/keepalived/keepalived.conf
# ]1 v7 z) L& I3 O. kglobal_defs {
& V2 @5 X2 s' z: B   notification_email {
     root@localhost
   }
   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
   smtp_connect_timeout 30
7 E& ^& s3 W! k; J! ?   router_id node5               #另一个节点为node8
8 I' A4 S) {9 w, \   vrrp_mcast_group4 224.20.0.18
}
1 v9 }* L( G! |! ^# I
* A# T; Q) W$ f( c, G" M+ svrrp_instance VI_1 {
; J* c+ X) y9 v1 q    state MASTER                   #在另一个节点为BACKUP
    interface eth0
    virtual_router_id 65
- Q" ~; K# \, Q( ~8 ~    priority 100                   #在另一个节点为80
1 N( `; n3 M5 O' s* q2 h/ Z( F    advert_int 1
. a1 }  d' }- |. s9 X! [2 _7 i    authentication {
        auth_type PASS
) Z# s/ p( @! ~- [6 K        auth_pass PbP2YKme
/ `3 i6 r5 Z" S$ d# V6 t    }
) M: B7 ?, W, m. N% ~    virtual_ipaddress {
        172.20.22.50/16 dev eth0 label eth0:0
4 i1 b* _1 @. U/ k5 N3 i    }
}
. n; O3 I+ M! c$ l. G( K4 P
1 {! ^* j. c+ `* X8 r- _/ F[root@node5 ~]# cat /etc/keepalived/keepalived.conf
[root@node5 ~]# systemctl start keepalived
[root@node5 ~]# ifconfig eth0:0
1 s  M9 V9 ]7 y+ J* V  heth0:0: flags=4163[U]  mtu 1500
3 r4 W9 A: B5 R7 J$ W2 w        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)
# l& k" z+ @. m2 \
##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
) n: L- x) v! }+ [, A4 e[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
: C; V9 B/ N0 ]web2 172.20.22.12
web2 172.20.22.12
* S6 Q0 K2 M/ `# j$ l8 G/ T% b  mweb1 172.20.22.11
- ^& B, _' Y# g; P$ D6 q; lweb2 172.20.22.12
web1 172.20.22.11

" l3 p4 s5 ~* ^1 t三、keepalived脑裂产生的原因以及解决的办法
keepalived脑裂产生的原因
脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。
8 i- n  u4 `5 n/ F' N; V( g
! H) A* p) k* X: ?$ z( J1 U一般来说裂脑的发生，有以下几种原因：
% z+ G" n* d4 ?( B5 V7 ]0 v. Y
8 |: x, k$ Y0 A0 M9 o[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
keepalived脑裂解决办法
一般采用2个方法：
# l/ l) q1 h) h; p: O
1、仲裁
, N9 K& Z8 `' n+ W' p; P  T
  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。
( h+ p+ A/ n# ]7 e" K0 p* _
2、fencing

  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备


四、实现keeplived监控，通知
! t/ v8 [* u/ D+ Y% q0 |keepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能

实现Keepalived 状态切换的通知脚本
#在所有keepalived节点配置如下
[root@node3 ~]# cat /etc/keepalived/notify.sh
/ b5 L) [- U& \/ K: ~% x2 T2 k0 G1 F#!/bin/bash
( G, n  _' h$ K6 ^; n#
contact='root@localhost'
notify() {
; H" m3 b! V8 j$ n: R  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
% [2 N0 u' ^" u8 M- A* g' k}
- r% |' Y$ i# ycase $1 in
+ p& c% r) r. N5 Kmaster)
  systemctl start nginx
  k: H: F) }% G- c- ^: x  A  notify master
8 w5 W1 E0 i9 w  ;;
. W, d5 n  ]5 A& \, Pbackup)
0 K7 e8 M% V& Y  systemctl start nginx
  notify backup
  ;;
% ^# |! ~, U" }+ P6 r  I7 w1 Xfault)
  systemctl stop nginx
# ]: Z) {7 a$ Z0 p3 p( Q3 u7 Q2 O  notify fault
6 ~% l+ x' c0 F4 l, C: j  V  ;;
*)
  echo "Usage: $(basename $0) {master|backup|fault}"
  s$ ?9 t+ @9 @- b2 ]  exit 1
/ }, ]# B) a: z) ^0 ?  {  Q" R+ \   ;;
; T2 u; s* |8 `: e0 w# Kesac
  n' c7 z& V1 u8 Z
3 c( G9 f5 v- E4 d0 t  F##配置示例
& O5 E6 D& N" [9 f* q/ z0 y[root@node5 ~]# vim /etc/keepalived/keepalived.conf
vrrp_instance VI_1 {
. H9 I0 k# b: D( \6 X. C2 e......
    virtual_ipaddress {
        192.168.30.77/24 dev eth0 label eth0:0
% G" v! c' B( C: y( }    }
& s& h9 p2 w( R/ h8 g' L' o) G1 m    notify_master "/etc/keepalived/notify.sh master"
1 b% d9 C5 a" q, v+ L    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault "/etc/keepalived/notify.sh fault"
) x* J" U* \- K  L; G}
9 g% Z5 |# v+ J6 {
: g- ^3 A9 j( X' F2 \8 ]& E  rVRRP Script 配置
9 z7 z5 R( c( L0 s分两步实现：
% ]* s0 R/ D. L& |
1、定义脚本

; x5 C- C' d, C" E; ^+ O' Q& x  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。

+ M) _; G4 j/ g5 E# Z4 V% ]" x  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点

2、调用脚本
# P2 R' `- f  e( k
5 m/ J" C( z8 h2 W9 }# P1 a  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script
& u: L' v+ f' J) F: O
3 Y& Z2 X7 W" ]0 _4 M/ G. P( `- E##定义VRRP script
vrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
0 t, J; f, I! T+ `3 t    script |  #shell命令或脚本路径
    interval [I]               #间隔时间，单位为秒，默认1秒
( x! W1 n* W  f  C6 Y6 @3 x" M6 H* ?    timeout [I]                #超时时间
) I% r: B3 q* k8 ]5 t2 |+ m( @    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
$ [* [- m5 V) \( p! E& J/ {$ N    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
) @5 D7 A  v5 w3 e4 \1 D    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
8 r& F1 l8 Z" M5 f3 S    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
) T/ _9 @& f, ~3 c, T- B) D0 e    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
8 U8 R8 S( M% V2 E0 E# W8 \- u}
/ Z, G" e  B, W
##调用VRRP script
vrrp_instance VI_1 {
    …
    track_script {
! ?) n$ U# L$ Y& a+ c1 G        chk_down
  }
}
4 q' y4 s8 C0 s7 r; G& }实现HAProxy高可用
2 D+ I% z/ Y  j/ @##在两个节点修改内核参数
% d1 w" }, d  P" s  q[root@node5 ~]# vim /etc/sysctl.conf
[root@node5 ~]# sysctl -p
/ C* l. D0 K6 B9 k! F' e4 Unet.ipv4.ip_nonlocal_bind = 1
- G9 {( b# i9 w$ o4 q! Y/ H: o; A#在两个节点先实现haproxy的配置
/ N- a# ^) Z0 n1 {- K[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
) b# |9 c7 i, C9 _1 Q/ C' Vlisten stats
  mode http
6 U' B$ z+ u' ~% C1 v  bind 0.0.0.0:9999
  stats enable
+ b! R  Y+ b5 s* [) n# J  log global
  stats uri     /haproxy-status
  stats auth    haadmin:123456
listen  web_port
  bind 172.20.22.50:8899
. O6 O6 C* U5 k( ~$ [6 W: H" o  mode http
) p2 A4 Y$ h0 s% C3 g4 Z4 s1 z  log global
  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
9 N" o+ t% y9 h- g, {2 t! A7 G5 [& X  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
) O) W& j* a- C6 J( m  
  
% X# z8 X7 Y4 u[root@node5 ~]# cat /etc/keepalived/keepalived.conf
3 K+ L1 m# k1 e1 Xglobal_defs {
   notification_email {
# I! Z8 [! J1 G7 M- a  \1 i     root@localhost
   }
   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
4 S( M1 M$ T+ x" }! _4 l( |   smtp_connect_timeout 30
   router_id node5                 #在另一个节点为node8
% ]3 V! D( c3 g9 U' Y   vrrp_mcast_group4 224.20.0.20
}
vrrp_script check_haproxy {        #定义脚本
. i$ k2 s( i, Z; X; R. w    script "/etc/keepalived/chk_haproxy.sh"
    interval 1
7 d1 @5 a% E6 g, x1 D# [    weight -30
/ F; q# o4 i8 q9 \0 H. e1 O7 z2 `$ t    fall 3
    rise 2
. a0 A& j( h( M/ c% T, Y) d}
vrrp_instance VI_1 {
    state MASTER                 #在另一个节点为BACKUP
    interface eth0
; t8 w% v  _9 R- [; u    virtual_router_id 65
- }- u; x# p% X  ~    priority 100                 #在另一个节点为80
4 I% w% y% r; V5 M, ^, I    advert_int 1
    authentication {
4 j$ Z0 J  Y- K3 w+ t' P/ S        auth_type PASS
; X, _7 E5 v1 W# l0 I        auth_pass PbP2YKme
    }
    virtual_ipaddress {
        172.20.22.50/16 dev eth0 label eth0:0
    }
+ B8 ~1 B1 a/ F/ B7 M    track_script {
        check_haproxy            #调用上面定义的脚本
    }
    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault  "/etc/keepalived/notify.sh fault"
0 S2 U7 q4 k! u* p}
2 g" V0 Y7 ^8 k5 c& V0 K# |+ I
; i/ t; M4 X9 E' a$ R5 j& o: L[root@node3 ~]# cat /etc/keepalived/notify.sh
3 ^) _; `1 Z9 a6 _( t5 c2 o#!/bin/bash
#
contact='root@localhost'
3 f) }; P2 z' d' ]8 C2 q7 L1 N# Ynotify() {
  local mailsubject="$(hostname) to be $1, vip floating"
! d, O7 k* ?/ H5 }$ }& P0 R' v  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
5 k) ]( J! o3 y2 N2 E}
case $1 in
$ V  a8 o8 j! Ymaster)
& [+ O- z5 M# N4 P) J2 g9 K  systemctl start nginx
  notify master
  ;;
backup)
4 k. p: _& d1 @' y+ f6 }  systemctl start nginx
  notify backup
% x1 B* ^. }8 X4 X) a  ;;
& ^2 |3 s$ x: C6 W: xfault)
& B/ X( w* B. s4 |8 x4 l  systemctl stop nginx
3 A3 u+ l8 I& l# a0 T* J( V9 g  notify fault
  ;;
7 L5 K6 a0 M& w*)
  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
   ;;
9 s2 A' |- p- E5 Desac

4 L5 k6 ^% d4 }# N& }& |/ y[root@node5 ~]# yum install -y psmisc
[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
#!/bin/bash
; ?1 q! i& u. |/usr/bin/killall -0 haproxy