keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
keepalived使用
+ e4 N) G2 [- ]- c8 okeepalived介绍
vrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务
/ `, ^/ S5 ~3 C0 ^! P; E
官网：Keepalived for Linux

功能：
& a8 i& N( n+ \! P2 n* M8 L) y) k" I
- t. u+ x1 r( _' i( [+ `

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
5 c% x$ m6 j+ u0 eKeepalived 架构
官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux

用户空间核心组件：
[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]
7 t$ n7 J+ [2 e& p' y3 K

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
环境准备

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
keepalived配置
配置文件组成部分
" L0 ?. m. S: ~& O# K/ L配置文件：/etc/keepalived/keepalived.conf

+ Z, P6 G& c1 R: r$ J配置文件组成部分：
7 j' {/ J* ]: y7 s4 e9 {; Z$ }
GLOBAL CONFIGURATION
. l! Z7 c* A, J9 \  `8 X- ?8 A& D4 i       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等
) ]) P. Z; u8 M; \! Q" n( _* j
VRRP CONFIGURATION
       VRRP instance(s)：定义每个vrrp虚拟路由器

LVS CONFIGURATION
3 f* C! k9 v9 d$ j, w" k       Virtual server group(s)
* `2 c0 w% o% Z1 v9 M& ?0 u, D
       Virtual server(s)：LVS集群的VS和RS

( L, F  d! Z9 @+ f# E/ T
配置文件语法
% R' {0 p5 ]  ^3 P' ^' }+ m$ G当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件
9 Y, y' j- p7 ~% h* L+ y
& B. }, L7 v" C  o( k, ?, _4 h全局配置
! C7 h- q& ^0 c; ~# G3 L- P' D2 l7 H
2 O2 B! P. r& ^: {global_defs {
! g) x( }7 [. H6 e   notification_email {
     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
   }
0 D4 l7 l5 U: t8 A5 s   notification_email_from keepalived@localhost   #发邮件的地址
   smtp_server 127.0.0.1     #邮件服务器地址
9 b1 S+ S" J; g4 m8 \- w   smtp_connect_timeout 30   #邮件服务器连接timeout
   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
/ d) O; u- ~7 p0 j" v   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
5 K- F: E- W) X& a$ }; R}

' \1 m* k" E7 H" R' m7 \include /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
配置虚拟路由器

vrrp_instance  { #为vrrp的实例名,一般为业务名称
7 A7 K2 M! v# A  t  配置参数
0 Y" G9 g* }4 c, R# `5 ?+ B6 N% x5 Y7 p  ......
' X+ w8 b8 c: Q" B1 E, e' a/ ~}
#配置参数：
3 Q% ]0 E2 c* f, B  tstate  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
interface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
virtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
priority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
advert_int 1       #vrrp通告的时间间隔，默认1s
: @0 W! Q9 E& {- b# ^! d3 \authentication { #认证机制
  auth_type AH|PASS
( Q+ f. o) ~9 ]6 {- A$ c  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
$ o1 A7 O1 f6 F  o7 n2 D1 F8 J}
$ m/ j6 z' ], Z+ pvirtual_ipaddress { #虚拟IP
1 C: g& g1 w2 h$ g2 e# E( v    [I]/ brd [I] dev  scope  label
    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
    192.168.200.101/24 dev eth1                 #指定VIP的网卡
    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
}
0 W) f$ f$ Y- G% dtrack_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
/ K! O. G; i3 {5 r) _    eth0
, L5 b+ O* ^7 L0 K    eth1
9 T# j" ]0 w( M    …
' l7 v& g+ n& \- c+ Q}  
启用keepalived日志功能
[root@node5 ~]# vim /etc/sysconfig/keepalived
3 e3 c6 H/ s4 G7 b2 yKEEPALIVED_OPTIONS="-D -S 6"
5 S6 D- _8 J: m$ N  t: w[root@node5 ~]# vim /etc/rsyslog.conf
! B+ m+ n5 Q7 d8 B1 |3 Q  I# c0 R; F, tlocal6.*                                                /var/log/keepalived.log
6 w! C/ {) Q, k[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
+ p8 V& _, W9 W* a' w: W[root@node5 ~]# tail -f /var/log/keepalived.log

; R8 h! x- ~6 D. ^* j# q: y二、keeplived 结合nginx 实现高可用
keeplived+nginx节点1:172.20.21.170

: _" y" ?7 |5 l/ r1 E; Ekeeplived+nginx节点2:172.20.21.175
3 X6 x) d( n/ e! m
后端web服务器1:172.20.22.11
, ?: B4 ?1 |, y- e$ e
1 C4 O, g7 \1 ~: G  P6 B4 F; F3 Q后端web服务器2:172.20.22.12

. F0 ~/ l+ F9 t6 G, g1 o#先准备好两台后端web服务器
[root@localhost ~]# yum install -y httpd
[root@localhost ~]# echo 'web1 172.20.22.11'
[root@localhost ~]# systemctl start httpd
#访问测试
[root@localhost ~]# curl 172.20.22.11
web1 172.20.22.11
[root@localhost ~]# curl 172.20.22.12
web2 172.20.22.12
* r& r) h( V; B, Z( x  d  U: X
- r- O0 a7 B2 @) t: D% C#在两个节点都配置nginx反向代理
( [/ }0 Z& C# r. @1 O* K[root@node5 ~]# yum install -y nginx
[root@node5 ~]# vim /etc/nginx/nginx.conf
http {
. h* r- A  s; r$ ^  Y0 ~- U, j# G    upstream websrvs {
- d: I/ T' s; r  p( x        server 172.20.22.11 weight=1;
3 Z# l  ^5 ~( C( `) }3 l        server 172.20.22.12 weight=1;
    }
0 c! P4 q( y4 V, W    server {
$ z* @8 f& L9 o( k" v        listen 80;
, P& U. `3 F' p9 a7 A$ ^# W  r: w        server_name www.a.com;
( w& m% @0 M7 t        location / {
            proxy_pass http://websrvs/;
        }
    }
: [) J9 r, y* j8 @& H}
! V+ p6 ~1 l- x5 }; ]
#在两个节点都配置实现nginx反向代理高可用
& }- }  p. _! [6 g8 q0 o- G7 x) p[root@node5 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
; e+ ~% |6 n  Q+ e' C   notification_email {
" a6 \" d- `8 H+ S$ C6 i     root@localhost
   }
   notification_email_from keepalived@localhost
. \. J& M1 }; k   smtp_server 127.0.0.1
   smtp_connect_timeout 30
   router_id node5               #另一个节点为node8
   vrrp_mcast_group4 224.20.0.18
6 ^" g8 J! M: j}

& S  \  Y% k+ f/ @vrrp_instance VI_1 {
    state MASTER                   #在另一个节点为BACKUP
4 i4 `! u8 ?  {: O5 U    interface eth0
    virtual_router_id 65
! t' U* Z: A9 o    priority 100                   #在另一个节点为80
    advert_int 1
$ U% S. W0 t# G$ [% y    authentication {
        auth_type PASS
3 ]. Y) I* v5 y; F1 S* f0 ~        auth_pass PbP2YKme
    }
    virtual_ipaddress {
        172.20.22.50/16 dev eth0 label eth0:0
  F) T' B, T3 o: J3 ]2 ~0 o    }
$ c+ m3 n5 g/ t! {  B$ _}
6 e: k1 w$ ^! y+ i$ f
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
[root@node5 ~]# systemctl start keepalived
/ }+ R& L! e9 S( P/ `; B( `" O# {[root@node5 ~]# ifconfig eth0:0
. D0 ~" k$ s, I  ?) keth0:0: flags=4163[U]  mtu 1500
        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)
. i5 A+ ~# W" Q" |) X; l) E8 m# L
4 R* r6 |& X* U+ y$ o' L##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
8 r! t" H# O! B! p- [' C! z1 d: cweb2 172.20.22.12
8 n6 O. B: g7 K7 a5 v" P) X3 dweb2 172.20.22.12
web1 172.20.22.11
4 o% Y) y* t5 z: f, Qweb2 172.20.22.12
5 M5 K1 Y) T) a7 n' oweb1 172.20.22.11

9 L; C6 s( p! Q# e/ r! D8 I三、keepalived脑裂产生的原因以及解决的办法
0 |  a1 t+ [/ D9 ?  |) [% f" Y9 ^keepalived脑裂产生的原因
脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。
! l; n4 i% N3 S. f
' c  n# n) M- S% z0 K6 j; x, t一般来说裂脑的发生，有以下几种原因：
$ x& B! n0 h6 N, D
[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
8 T7 _$ x+ O4 hkeepalived脑裂解决办法
一般采用2个方法：
( C" M1 P6 n. l2 S) \( k- u- @; H
% }. ]6 w7 J2 q/ M; O' r/ ~1 {1、仲裁
8 u( b$ k  F3 M- U+ `
  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。

# x8 ]- R6 M. b' [% z3 }2 P6 Q2、fencing

  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备
3 O' ^9 I9 {0 N  O$ o- Y

四、实现keeplived监控，通知
+ E5 w- ]* V1 q; ]; O) p+ |! ^5 {keepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能
$ `% K9 s3 M8 o! J4 F7 y& {
实现Keepalived 状态切换的通知脚本
#在所有keepalived节点配置如下
[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
. M; G  @; B7 _0 `- K#
contact='root@localhost'
notify() {
6 P8 F9 V) e5 F/ @" g" X  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
. `9 K+ s, \4 s# f' b- ^3 M$ x  echo "$mailbody" | mail -s "$mailsubject" $contact
* r! s8 O5 m0 R- p$ R8 p" O- p) H$ s}
% e4 }  C0 D: Z/ A0 x: |case $1 in
5 b- [* [) v% l# ~5 Y; Emaster)
# m" V/ y- `* l9 `. Q5 C  systemctl start nginx
  notify master
  ;;
backup)
  systemctl start nginx
  notify backup
  ;;
& b* h! C. Q4 ]1 C$ b. vfault)
  systemctl stop nginx
' o. |7 P$ k3 f4 R  C$ I) \  notify fault
  ;;
( R, x& v2 c8 `9 T# Z- n. i*)
" i  J4 ~- Z" p* E3 L4 d/ p  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
   ;;
esac

6 Q+ u% F$ ?" Y9 n7 J' o; Y##配置示例
4 I2 o, {" y5 Y2 m' K4 R[root@node5 ~]# vim /etc/keepalived/keepalived.conf
6 R# h- a5 A6 r, d" zvrrp_instance VI_1 {
0 a+ z5 }# M* Z......
    virtual_ipaddress {
        192.168.30.77/24 dev eth0 label eth0:0
  F/ U5 a& S4 Q    }
    notify_master "/etc/keepalived/notify.sh master"
% T9 ^9 o9 \" V) b6 ]# [# u    notify_backup "/etc/keepalived/notify.sh backup"
8 _7 S& ~& y8 L+ q4 I( i    notify_fault "/etc/keepalived/notify.sh fault"
2 H0 C( `6 Y6 t0 t; J}
" ^; {$ a! K* N2 o* |0 s5 W
VRRP Script 配置
$ q- K; t& D1 T; m8 j分两步实现：

8 J. Q# \0 R; f8 G0 ^- h/ b1、定义脚本

  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。
6 H& D) t1 K9 o3 C9 [; }8 L
3 S6 c' x' a1 G; r# I5 e  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点

2 `( ~' [. p6 X3 D, P7 [+ j2、调用脚本

; r9 a0 r+ Y) w6 p: c  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script

##定义VRRP script
vrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
5 l  C7 {6 h' P# M1 e    script |  #shell命令或脚本路径
    interval [I]               #间隔时间，单位为秒，默认1秒
    timeout [I]                #超时时间
% b$ X3 b" ~2 T( G    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
! V3 ], c0 s' c" j; d    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
}

##调用VRRP script
+ S* g) x! L8 w% z* @8 ovrrp_instance VI_1 {
0 G' T/ e0 ?) x2 Y8 k    …
3 Q7 N. c  f9 m    track_script {
        chk_down
( h7 j9 e. D; b" \2 W2 {  }
5 x. c1 ^0 \" k( H6 x( M}
实现HAProxy高可用
* J- \0 n$ r. Z$ S##在两个节点修改内核参数
[root@node5 ~]# vim /etc/sysctl.conf
+ ]' v6 i3 }9 R& o[root@node5 ~]# sysctl -p
% |. H8 m# _' n5 C8 B- Inet.ipv4.ip_nonlocal_bind = 1
- l% k$ O0 R' V! _6 ^! ~$ H- m#在两个节点先实现haproxy的配置
[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
) W$ w6 k% R+ F& w, I8 blisten stats
' g+ X7 Z5 A, E  mode http
) s$ }% |9 A) J; s+ }  bind 0.0.0.0:9999
, K0 K' y- U+ D6 M  stats enable
2 Y: q# Q9 r/ }: ]* s  w+ c  log global
  stats uri     /haproxy-status
  stats auth    haadmin:123456
- F& |% a! }" y- olisten  web_port
; c* S: d# U; [  {" ]$ Q% b! p  bind 172.20.22.50:8899
- C  F% \& e7 \2 _8 ?! H( v  mode http
5 g0 w* m5 F- x6 S) ?* v; m  log global
: Q% x7 N2 u8 h: [  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
1 E+ @4 H8 {$ E" ]4 m- Z6 t  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
  
  
8 P/ P; Y  {5 p7 y# b( A6 d# l3 S[root@node5 ~]# cat /etc/keepalived/keepalived.conf
0 s- Q$ o1 a1 f; q3 qglobal_defs {
   notification_email {
     root@localhost
3 D! K7 l' y0 L9 e% U' Z6 r   }
   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
   smtp_connect_timeout 30
) ^* |- [) f2 u# D1 q+ a( X   router_id node5                 #在另一个节点为node8
   vrrp_mcast_group4 224.20.0.20
}
8 c( ]2 u) U( c) h, |8 z; bvrrp_script check_haproxy {        #定义脚本
3 T9 K* S' Z( V( y* P    script "/etc/keepalived/chk_haproxy.sh"
    interval 1
    weight -30
% X9 u5 Y8 I( A7 p) u% S7 C    fall 3
, t( n4 M3 G( m7 ]. P& x- i    rise 2
}
vrrp_instance VI_1 {
    state MASTER                 #在另一个节点为BACKUP
    interface eth0
    virtual_router_id 65
    priority 100                 #在另一个节点为80
3 X: ^4 s! @( R    advert_int 1
, o5 b# V5 t; r+ C) S/ @2 }' R5 W    authentication {
        auth_type PASS
        auth_pass PbP2YKme
  a1 K0 |& U3 _" x, H  C$ u    }
    virtual_ipaddress {
        172.20.22.50/16 dev eth0 label eth0:0
    }
% j& E0 g9 _3 U: n    track_script {
" u% ~+ ?) ?" t7 F: W- \# p8 K        check_haproxy            #调用上面定义的脚本
    }
    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault  "/etc/keepalived/notify.sh fault"
/ C  l, X  F" `5 ~# C2 G}
! Z. R/ J# `" H6 T7 X' w" B0 i: G
, v2 ^0 E6 ~! v! @1 [[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
8 w: G% Y& i2 r9 ?- J; T#
6 S& j: {8 A* D% hcontact='root@localhost'
& z( ]6 T. G% A* {+ {0 j' b2 H6 Xnotify() {
  local mailsubject="$(hostname) to be $1, vip floating"
! h9 @; g6 T  b$ ?& ]1 }  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
% F" R* A. t* O' q0 s  p% B  echo "$mailbody" | mail -s "$mailsubject" $contact
}
case $1 in
master)
  systemctl start nginx
  notify master
; Q; v3 q/ u* o) y( x1 j% x  ;;
9 b- R, O% c4 t6 `! Z! {! o3 ^backup)
/ V1 l6 W- m% w4 K; b/ R* p  systemctl start nginx
  notify backup
  ;;
5 w- ~4 x! D: @8 Yfault)
7 a1 U- |* w& Z# B- c  systemctl stop nginx
  notify fault
  ;;
$ B( Z0 m' r) q! Z+ R*)
  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
7 T. K) D1 O( K" r. a# K7 `   ;;
esac
' {  u+ ]  \! ~; @+ ~4 t
$ B$ \% O% x- J! [[root@node5 ~]# yum install -y psmisc
" y3 v  Q. Z3 j. r/ k[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
#!/bin/bash
/usr/bin/killall -0 haproxy