keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
keepalived使用
keepalived介绍
vrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务
3 t0 `- [7 P" l7 ]) G- H; G
0 b7 [1 E; b* N, [9 T7 [. c3 g4 m官网：Keepalived for Linux

! a. a( u. Y/ O( F功能：
% I! N3 |) k/ a
! r1 R; G1 P2 N- x" n$ Q1 E

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
4 l% Z( C+ S$ l( z2 a# {Keepalived 架构
$ t( p) |: y# Z6 [( F. n4 \官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux
' H0 |! A7 }3 ~; T; P0 _

用户空间核心组件：
' n8 G  z* A- `( Z[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
2 L5 F+ X+ I, U& ~环境准备

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
3 a- x( P; A/ J4 ^- S7 y( @9 J$ ckeepalived配置
配置文件组成部分
3 ^* |+ g# D  P# p' E配置文件：/etc/keepalived/keepalived.conf
1 F6 [, j, @0 L( T# \
配置文件组成部分：

GLOBAL CONFIGURATION
       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等
1 q+ f1 `8 Q# d% z8 W' l3 j; H
8 R0 J- t3 t8 N" ZVRRP CONFIGURATION
       VRRP instance(s)：定义每个vrrp虚拟路由器

0 N% J* `, Y7 |, N0 TLVS CONFIGURATION
       Virtual server group(s)
3 i" ^( c; u% g+ Q
       Virtual server(s)：LVS集群的VS和RS


配置文件语法
当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件

! y  l0 q, G4 B4 Z- `全局配置
: Y; C: C2 ]2 W! P& i4 ^( g
global_defs {
   notification_email {
     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
   }
& Z  L5 j% |/ T1 O   notification_email_from keepalived@localhost   #发邮件的地址
   smtp_server 127.0.0.1     #邮件服务器地址
$ q' A3 ^' c2 Y" V, K* U6 [   smtp_connect_timeout 30   #邮件服务器连接timeout
   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
: W$ k9 d) ?  d& B   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
6 [0 [/ R, e( q' `4 ^3 @* \9 a   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
+ n4 w. B; k  o  L   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
0 U2 i6 q9 n3 X4 W) k   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
}
, k9 N4 |$ |1 m% h9 r
6 }2 S8 _; y- g  z0 O: a% g: sinclude /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
配置虚拟路由器
4 L% |! X! X# T' Q
vrrp_instance  { #为vrrp的实例名,一般为业务名称
, z' }5 f8 Q4 x2 z  配置参数
  ......
3 t' B; p+ h# F" a}
#配置参数：
1 T: c( r0 r- o1 `4 j% k  nstate  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
6 Y/ x1 E5 u2 cinterface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
) D" S# @/ Z  {. L2 v1 V& L, K8 \virtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
1 r4 H6 ?# w- z1 r2 \) o7 X, E+ kpriority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
advert_int 1       #vrrp通告的时间间隔，默认1s
authentication { #认证机制
  auth_type AH|PASS
- W! {! q+ c/ Q  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
" Z; \( O) T$ v: `0 l! ^8 Y}
virtual_ipaddress { #虚拟IP
    [I]/ brd [I] dev  scope  label
    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
    192.168.200.101/24 dev eth1                 #指定VIP的网卡
    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
' h9 W# w: H$ F0 s( H) r}
track_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
: l( Q0 P% k/ j+ q$ o5 R2 Q9 S3 V    eth0
    eth1
    …
}  
启用keepalived日志功能
: c) H- A8 C7 T" \$ S[root@node5 ~]# vim /etc/sysconfig/keepalived
KEEPALIVED_OPTIONS="-D -S 6"
[root@node5 ~]# vim /etc/rsyslog.conf
local6.*                                                /var/log/keepalived.log
[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
[root@node5 ~]# tail -f /var/log/keepalived.log
, L4 H! a, J% W& I* l  ~3 n9 O
% D- K0 w$ ^  X; X0 a# q二、keeplived 结合nginx 实现高可用
5 R  F! \+ j1 u" {" V6 {9 G7 Ekeeplived+nginx节点1:172.20.21.170
, ^. f1 k# N6 I( W; h$ w9 j" j
keeplived+nginx节点2:172.20.21.175

后端web服务器1:172.20.22.11
5 j5 s$ |4 G4 x. R2 `. {
1 ]  i) H) G8 [% B后端web服务器2:172.20.22.12
% X" I2 r1 A" T! R' {9 [
/ P. q: J; x& x, M1 Q, j#先准备好两台后端web服务器
[root@localhost ~]# yum install -y httpd
[root@localhost ~]# echo 'web1 172.20.22.11'
[root@localhost ~]# systemctl start httpd
#访问测试
[root@localhost ~]# curl 172.20.22.11
( Y/ h1 c. i% e) i# v- v$ {- ~) rweb1 172.20.22.11
[root@localhost ~]# curl 172.20.22.12
1 l8 {6 ^+ y( N6 R6 pweb2 172.20.22.12

#在两个节点都配置nginx反向代理
- W# Z; w+ I) H5 [, `6 K[root@node5 ~]# yum install -y nginx
2 P" \, m- l, L/ }( x[root@node5 ~]# vim /etc/nginx/nginx.conf
http {
    upstream websrvs {
6 F) {$ o: a1 ]' X        server 172.20.22.11 weight=1;
        server 172.20.22.12 weight=1;
& O' I: h) e  ~/ l# }    }
    server {
        listen 80;
7 {5 F* d" _9 w' O, v0 L. u        server_name www.a.com;
        location / {
# W: Y  h2 G7 t: ^            proxy_pass http://websrvs/;
        }
& N$ ?' [2 R! @7 E    }
$ c4 [; U' o* |' C9 u7 o}
5 ]# {. ?1 r- o+ ?( ^. }6 l
#在两个节点都配置实现nginx反向代理高可用
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
5 X1 S/ }: O* \) B5 pglobal_defs {
9 y% J: A( C  y( I   notification_email {
     root@localhost
   }
3 `. o( S+ D, ^# V   notification_email_from keepalived@localhost
) Q# e/ ~+ ?% h   smtp_server 127.0.0.1
   smtp_connect_timeout 30
   router_id node5               #另一个节点为node8
; f) @( i' m0 r, i1 H   vrrp_mcast_group4 224.20.0.18
" \- t7 b/ n9 e9 a: C}
) x' P* t0 ^% k
vrrp_instance VI_1 {
, D* U2 V( R8 T- z6 V/ ~    state MASTER                   #在另一个节点为BACKUP
    interface eth0
    virtual_router_id 65
    priority 100                   #在另一个节点为80
    advert_int 1
3 g" B2 Q( _! A2 [! l( y    authentication {
        auth_type PASS
& b) w1 \; K  d        auth_pass PbP2YKme
    }
    virtual_ipaddress {
4 Y6 g8 p3 b8 o! c: P2 X4 i. I        172.20.22.50/16 dev eth0 label eth0:0
% _7 A- [: }7 P% J    }
}

# ], t: [* d: ~& h/ y[root@node5 ~]# cat /etc/keepalived/keepalived.conf
[root@node5 ~]# systemctl start keepalived
: L3 A% W% F9 A, @! A[root@node5 ~]# ifconfig eth0:0
# R- M) @  A+ u+ |* {! Heth0:0: flags=4163[U]  mtu 1500
5 z  ?/ @) |, n: [3 z        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
: M- o& t. V- ~' N8 v: h, P        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)
! [4 ]0 _0 \* [8 H, D% ?* o  q9 X8 T" Q
- `: y" U1 g- W' P$ t9 c& r$ g##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
web2 172.20.22.12
2 r" l8 u$ \/ Zweb2 172.20.22.12
web1 172.20.22.11
web2 172.20.22.12
2 ^9 I3 I  _4 rweb1 172.20.22.11
2 Y3 x2 u) y3 I- r- U! Q
三、keepalived脑裂产生的原因以及解决的办法
keepalived脑裂产生的原因
2 T; P( l5 z+ l# `$ q7 R) o脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。

+ p% A# ^* K3 [& H/ r% G6 w) ]一般来说裂脑的发生，有以下几种原因：

( N9 y  L: L8 q* Z( ^[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
7 S, S* m3 c% P8 @keepalived脑裂解决办法
一般采用2个方法：

5 K: Z" F* w3 e# T0 j1、仲裁
1 O9 t* ]# H/ m/ g9 V
, h: l, a0 m: ~# R  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。
5 P+ m4 m" c0 M8 v: K1 ~0 `
+ [* @( b- Y; D% n2、fencing

  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备
0 z' i9 K3 u% r9 i6 I  P7 L) R1 P

四、实现keeplived监控，通知
) r+ g; t( i( vkeepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能

实现Keepalived 状态切换的通知脚本
#在所有keepalived节点配置如下
[root@node3 ~]# cat /etc/keepalived/notify.sh
6 Z, {6 a9 d; N5 _) D#!/bin/bash
#
% ^0 ?0 r; M" v' [/ o$ i* o6 Bcontact='root@localhost'
notify() {
* @1 z5 H* r. N/ h) d7 G' I" W  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
$ u" b1 h( a2 e4 y. d  I2 w  echo "$mailbody" | mail -s "$mailsubject" $contact
}
. ^; I2 X; T. T4 n) ~8 x- Ycase $1 in
# h+ \' g5 W( w5 jmaster)
2 ~9 W) M! q0 b! H  systemctl start nginx
' d3 w( P, j2 b# s  notify master
  ;;
7 b+ L; u- D7 ~2 |5 t  Cbackup)
  systemctl start nginx
4 Q0 r6 o9 o' I0 l$ I  notify backup
2 s- |7 a$ ^, o  ;;
fault)
  systemctl stop nginx
! }; O( \0 z+ [. f2 a% X$ [  notify fault
  ;;
# u: g, [9 n4 }& ~: n# P2 y+ Y0 M*)
- _: p+ N3 A' D8 ]! ^( P1 X) A  echo "Usage: $(basename $0) {master|backup|fault}"
( c! r1 Z* X, Z+ i& E: @  exit 1
   ;;
esac
* R3 z( R' J& y) y  F6 b
##配置示例
[root@node5 ~]# vim /etc/keepalived/keepalived.conf
9 O$ ~: |/ |3 W6 X% Y* Zvrrp_instance VI_1 {
% Z) F4 X% j' j- R  y9 j7 R......
. P' S. V6 D3 t5 m    virtual_ipaddress {
        192.168.30.77/24 dev eth0 label eth0:0
    }
0 X6 ^3 _# @( ^$ n9 e6 }    notify_master "/etc/keepalived/notify.sh master"
$ a& z6 ?* K& ]0 z& j    notify_backup "/etc/keepalived/notify.sh backup"
4 X5 O/ \' K& q) l. V    notify_fault "/etc/keepalived/notify.sh fault"
. f5 V2 V9 u: Y& B' g- E}
  f) x8 u' f5 G# Z! m
VRRP Script 配置
) W) D5 r2 J, S  e% a分两步实现：
5 V6 f8 e# r- U* x8 k& Z
% _3 K: a% |. g1 f1、定义脚本

  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。
1 W, H; Q( r0 ~
8 Q& n" t! m- o0 R& }7 j/ @& i  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点

2、调用脚本

  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script

4 a5 M; x% Q  p. U##定义VRRP script
vrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
$ q+ S7 b8 a1 g: N1 z0 n    script |  #shell命令或脚本路径
' h0 w! l, I* E: X    interval [I]               #间隔时间，单位为秒，默认1秒
: j7 a! T! \3 @# \$ Q+ ]. E    timeout [I]                #超时时间
    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
3 F8 M1 T) M; r    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
( z" O/ q. K3 x: ~4 p7 d! a' I    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
) v; v' b- k) k    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
}

##调用VRRP script
vrrp_instance VI_1 {
' U/ g1 {6 q/ q; J1 F  ^$ S    …
/ R7 ^  Q, J, @* s+ S    track_script {
( t1 K% L; v8 C0 n        chk_down
  }
, Z: b/ r. V- ~  R4 e( {}
实现HAProxy高可用
& v. v) N+ T- G! [" T##在两个节点修改内核参数
[root@node5 ~]# vim /etc/sysctl.conf
4 B1 M/ z) K/ t0 F+ [* h) T/ U[root@node5 ~]# sysctl -p
- R3 N" j. s5 anet.ipv4.ip_nonlocal_bind = 1
) E! `8 f8 K1 _3 x; q  r$ ?#在两个节点先实现haproxy的配置
[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
" x: b) M; E( D9 }listen stats
  mode http
  bind 0.0.0.0:9999
: ?+ Z! i! S) ~  c+ F0 u  stats enable
8 c! N2 v) `" K* A6 t) i  log global
& L5 X; f. a# Y% ~! v  stats uri     /haproxy-status
2 k$ w& l! I1 [, D5 M" @  stats auth    haadmin:123456
listen  web_port
0 |% _4 t( m1 ~- ~/ F  bind 172.20.22.50:8899
  mode http
$ t- F2 |# E) z# ?/ \! \9 C  log global
  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
  
  
3 L/ ]' L/ y# y[root@node5 ~]# cat /etc/keepalived/keepalived.conf
. h& q4 ?# b7 o  H6 U; y$ Uglobal_defs {
* y/ u! y* _% l  G. G   notification_email {
     root@localhost
   }
   notification_email_from keepalived@localhost
' G* l+ \6 e2 d/ {7 f/ ]/ W$ g7 P   smtp_server 127.0.0.1
& \, V3 {/ o: q3 G5 _0 W2 X   smtp_connect_timeout 30
   router_id node5                 #在另一个节点为node8
/ L( W8 _6 Y: n$ ?: v  X   vrrp_mcast_group4 224.20.0.20
}
3 d& V: F. u* A0 P8 gvrrp_script check_haproxy {        #定义脚本
1 S4 A) f8 A, |+ r! l* B    script "/etc/keepalived/chk_haproxy.sh"
& b1 @' T6 f: h5 B    interval 1
8 X% w- j2 ?7 S/ p6 W" N" ^4 l    weight -30
5 n3 N& B% Z2 b) K    fall 3
: Q( p: q9 L5 b) b6 ~# Z, Z    rise 2
}
vrrp_instance VI_1 {
    state MASTER                 #在另一个节点为BACKUP
    interface eth0
! }7 e3 @" M: ]% M    virtual_router_id 65
    priority 100                 #在另一个节点为80
& C" ]/ f$ q% ]    advert_int 1
    authentication {
        auth_type PASS
* n& N9 R* D' k% V6 B        auth_pass PbP2YKme
    }
    virtual_ipaddress {
        172.20.22.50/16 dev eth0 label eth0:0
    }
9 `; Y( D% P; B. K. o    track_script {
. j$ a# H1 y' r/ f: K' |: Q        check_haproxy            #调用上面定义的脚本
    }
    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
( F9 a$ \+ V; X1 b    notify_fault  "/etc/keepalived/notify.sh fault"
}
8 n% @) e$ [1 O. I
[root@node3 ~]# cat /etc/keepalived/notify.sh
, N: F9 o2 l* @! I7 U+ Y, z#!/bin/bash
#
contact='root@localhost'
( k9 w, @; ?/ \& s, r+ U, P+ b# w! Hnotify() {
  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
( _8 Y; c  E2 x8 I% O) l! w" \  echo "$mailbody" | mail -s "$mailsubject" $contact
* A' F% w2 _( ^9 m" I}
case $1 in
: }; z+ c! N9 f( jmaster)
% f) a3 n! x" Z& ^( l$ U  systemctl start nginx
% [; h  s( ?7 E! L  notify master
. L) G* L/ P. A2 N* }0 |  ;;
6 @5 K1 ~/ s; a7 sbackup)
8 L6 w! D7 w" Z* ^$ o  systemctl start nginx
  notify backup
$ e0 v( `. @# s) p  ;;
' H+ r% l2 X) V. C: A1 ^. Efault)
2 x. x: X# a& k; D$ k% N, ?  systemctl stop nginx
8 T3 K* x/ \: W% U7 U/ j5 G$ @, E  notify fault
  ;;
*)
# t/ Y/ j6 r3 E! P  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
   ;;
; j/ ^! C6 I/ n) ^( H: o: Gesac
) y/ H2 S% }' J+ s
[root@node5 ~]# yum install -y psmisc
9 t* ]  p1 A7 ^" S- K$ N$ l[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
  x' |! g) N7 ^9 u#!/bin/bash
/usr/bin/killall -0 haproxy