keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
keepalived使用
" H7 W  \4 ?( Gkeepalived介绍
9 ?, c/ s& K% }) U5 Q+ `9 v# Tvrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务
; r& B3 T& @" _9 r! f
# Y  s4 a" J  G官网：Keepalived for Linux
* A! r% D# _$ f# z* c
* T$ O) q; M# ?1 n# ]' z) r% L功能：
1 D8 H+ ^" Q/ l' f
4 H' D* |9 B/ t  H# P/ O3 M. ^8 J

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
" D7 q* K3 Z- ~: AKeepalived 架构
  Y" z3 E0 t0 ]1 d. m6 n0 }3 O官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux

用户空间核心组件：
+ t- J: K1 m' Y* v  A8 W+ m* P) X+ S5 w[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]
7 D: x" \# n# i$ ]

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
环境准备
- f% u0 Y8 \. v3 j9 U$ ?

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
keepalived配置
' g9 W" K8 z3 \' D: M" V+ x" p* x配置文件组成部分
配置文件：/etc/keepalived/keepalived.conf

配置文件组成部分：

2 o8 n/ c" }) S" e; f! @1 j  J! U6 qGLOBAL CONFIGURATION
       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等
" h3 w, D& C! e4 [
VRRP CONFIGURATION
       VRRP instance(s)：定义每个vrrp虚拟路由器

LVS CONFIGURATION
       Virtual server group(s)

; l- \8 N8 f  p( c" N       Virtual server(s)：LVS集群的VS和RS
0 s" x2 O1 i8 Y% C8 H
4 c) ]0 q" t7 L( ^
+ J3 K6 k& A+ d4 z! z. Q配置文件语法
当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件
% J# f+ D5 k9 L7 K  l6 f/ H  ^
- G( R. ~- }1 G. I% e2 U5 C全局配置
" m' ]/ x: F. f0 H" W
global_defs {
   notification_email {
/ x" M. U& A2 H! t" H9 p0 x' t     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
( \) e) r" R' c   }
  R8 x% c6 H! {   notification_email_from keepalived@localhost   #发邮件的地址
   smtp_server 127.0.0.1     #邮件服务器地址
   smtp_connect_timeout 30   #邮件服务器连接timeout
0 T+ g# \, ?; M; y/ z' m   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
: r1 s0 B$ \3 E8 p1 M( _   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
  v2 z, t4 z4 W5 O- B, {3 J   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
8 U$ ^, e: {% o1 P* I2 E   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
, ?: E: V; j7 P7 X% T1 [/ a" ]}
9 D% w0 O% c+ V& d, J
include /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
配置虚拟路由器
4 a6 u6 U/ i9 n' F) Y' z0 D3 c$ _
vrrp_instance  { #为vrrp的实例名,一般为业务名称
0 b% h  |6 i1 Q% j5 g  配置参数
: _1 Y; T' E/ S5 @7 A" C4 c  ......
; ?6 y; Z0 m# a2 J  e" _9 M}
#配置参数：
- d% c! K! @& W6 Q  j! ~state  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
interface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
" {, i4 e/ f3 vvirtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
priority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
advert_int 1       #vrrp通告的时间间隔，默认1s
authentication { #认证机制
  auth_type AH|PASS
  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
2 g2 \6 J5 w, h0 `3 ?* }, z}
virtual_ipaddress { #虚拟IP
    [I]/ brd [I] dev  scope  label
    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
    192.168.200.101/24 dev eth1                 #指定VIP的网卡
    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
9 Y0 S! T* l) ~; q3 A, v% W0 k2 s}
track_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
- R/ V) H2 w. |% e$ o; b. h5 I    eth0
% S6 X( }/ ]$ e/ I    eth1
    …
}  
启用keepalived日志功能
4 h9 Y+ }) d% f' s$ |[root@node5 ~]# vim /etc/sysconfig/keepalived
) ]/ ~5 I6 W1 `KEEPALIVED_OPTIONS="-D -S 6"
[root@node5 ~]# vim /etc/rsyslog.conf
1 }* r) ^% t/ r' j& m0 s( Qlocal6.*                                                /var/log/keepalived.log
8 a! R' H, g  `. E[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
: L( S7 R/ h" p, Z[root@node5 ~]# tail -f /var/log/keepalived.log

二、keeplived 结合nginx 实现高可用
keeplived+nginx节点1:172.20.21.170
+ V% g+ f* F- Y" P1 j! b7 T
keeplived+nginx节点2:172.20.21.175
) `3 {+ A3 H3 @% i, a! o9 |9 u  e: t  c8 q
后端web服务器1:172.20.22.11

后端web服务器2:172.20.22.12

#先准备好两台后端web服务器
# I, E* O* r* b5 m( E$ x7 k[root@localhost ~]# yum install -y httpd
[root@localhost ~]# echo 'web1 172.20.22.11'
0 o( K% _9 S% X8 T; w[root@localhost ~]# systemctl start httpd
#访问测试
[root@localhost ~]# curl 172.20.22.11
# S$ }; Z- b' Vweb1 172.20.22.11
[root@localhost ~]# curl 172.20.22.12
web2 172.20.22.12

/ i' S9 T! M7 u7 v2 c#在两个节点都配置nginx反向代理
[root@node5 ~]# yum install -y nginx
' E; o8 l5 K; \0 r: G[root@node5 ~]# vim /etc/nginx/nginx.conf
http {
    upstream websrvs {
7 E: a  }' ]( L: W1 [        server 172.20.22.11 weight=1;
        server 172.20.22.12 weight=1;
0 B0 a: P- n1 H- H+ _5 A9 T    }
    server {
        listen 80;
        server_name www.a.com;
        location / {
            proxy_pass http://websrvs/;
        }
    }
8 d- k$ x9 ?- m+ {! [% _* e}
/ [4 O% @. w/ L" }3 i
1 X  g4 O5 p6 F/ r9 B4 g3 t* T% F#在两个节点都配置实现nginx反向代理高可用
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
# N/ J4 D! \' h. X5 dglobal_defs {
, T( `% G8 b- V5 _! I3 I   notification_email {
$ \( Y+ w+ g8 x( @0 B# e# ?2 s! A     root@localhost
& ~& E; q; @  J8 W   }
   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
( y( Z- _! B. E- s/ q   smtp_connect_timeout 30
   router_id node5               #另一个节点为node8
   vrrp_mcast_group4 224.20.0.18
}

vrrp_instance VI_1 {
* v0 H; i5 e' ~" e2 \) m    state MASTER                   #在另一个节点为BACKUP
1 I0 E* K% v$ t6 S1 p. W% ]0 M    interface eth0
& s, t8 m7 R7 G( ?2 y    virtual_router_id 65
    priority 100                   #在另一个节点为80
    advert_int 1
    authentication {
        auth_type PASS
: c8 S( t& t9 P' g3 O0 b$ O" l        auth_pass PbP2YKme
1 J: X) A% ~% ~    }
- h: D: X7 ]5 S7 ~  T    virtual_ipaddress {
& P% s9 ~+ m' s        172.20.22.50/16 dev eth0 label eth0:0
    }
3 O/ F* C! O1 n0 M. k  ]}
1 k$ a; `6 o7 Z, i7 U1 g
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
[root@node5 ~]# systemctl start keepalived
. D3 C( D, U! D" K! v: t( q; ?. a[root@node5 ~]# ifconfig eth0:0
eth0:0: flags=4163[U]  mtu 1500
% s  M8 R7 b, _5 w" I        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)
6 l) t/ a+ i; V+ i5 E2 _& A6 D
##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
web2 172.20.22.12
! ~4 A: L5 c( _9 n- ~web2 172.20.22.12
web1 172.20.22.11
9 c9 f' h" R7 _- Z4 ?web2 172.20.22.12
% @& X: g2 w* C- ?, C; _4 Qweb1 172.20.22.11

三、keepalived脑裂产生的原因以及解决的办法
keepalived脑裂产生的原因
& ]5 I( m8 |7 {/ i; ~, M: E# k# Z5 v脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。

一般来说裂脑的发生，有以下几种原因：

[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
* Y* P" r" r* }keepalived脑裂解决办法
3 B9 x: |/ T3 L0 w9 ~一般采用2个方法：

( Y3 l7 p+ P; p. p* B( F7 E1、仲裁

# _8 u* {( z& R6 y. D0 o  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。

2、fencing
8 i1 r' N6 t4 m7 `, Z! W
  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备


四、实现keeplived监控，通知
keepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能
/ N" Y3 G: R9 u0 B7 X9 j
; s+ E. J9 T9 B2 ?; b实现Keepalived 状态切换的通知脚本
#在所有keepalived节点配置如下
[root@node3 ~]# cat /etc/keepalived/notify.sh
! F# \. y! @- ~/ C/ }9 s- m) p2 |#!/bin/bash
#
2 g+ g4 M3 K. V) w$ T4 Ocontact='root@localhost'
, t' r5 u" G+ cnotify() {
7 L) W' f7 G$ p  local mailsubject="$(hostname) to be $1, vip floating"
" |/ ^6 O! t( i/ `4 g  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
$ ?; ?0 f* o7 d  echo "$mailbody" | mail -s "$mailsubject" $contact
}
case $1 in
  b/ r+ V* v5 U5 Amaster)
' k3 ~; \* h% G& }) m+ \0 M% b; K  systemctl start nginx
  notify master
3 N, y+ N+ X2 ~3 t  @2 [( F' W  ;;
backup)
4 g# S' E/ H0 w% B4 E  systemctl start nginx
  notify backup
  z* p  T- ~; B! K  ;;
. T8 \/ n. a9 L- m! U6 \1 q* \fault)
% Y  [* M# x1 }; A) W3 |; ^  systemctl stop nginx
; c+ w4 C6 |7 X8 u  notify fault
3 C6 g& C& `4 a# U  ;;
*)
  echo "Usage: $(basename $0) {master|backup|fault}"
8 T1 h- D% A& \: k. d( ~  exit 1
   ;;
. Y  W5 f. e, o: O$ N' c. c) S& Hesac

1 `9 k& z+ s/ ]##配置示例
[root@node5 ~]# vim /etc/keepalived/keepalived.conf
vrrp_instance VI_1 {
. o4 b9 c! p, A' y' f( _9 k2 j- [/ E......
    virtual_ipaddress {
        192.168.30.77/24 dev eth0 label eth0:0
6 e  w* i; z2 Y1 Q    }
    notify_master "/etc/keepalived/notify.sh master"
& H! `) I1 @$ J$ g) n9 V    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault "/etc/keepalived/notify.sh fault"
}
2 @. `# ~. u' ?4 P  _
* s0 \- ?2 u6 D3 ?. ?VRRP Script 配置
4 c( }$ B2 `# Z8 v6 D7 n* A分两步实现：
6 w4 e* p# U2 G
1、定义脚本

( T+ I4 @" E# U  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。

( `% _+ |: Q  @  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点

, t7 E$ A/ A! h- }5 N% t2、调用脚本

/ `4 C4 m- W3 L, s  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script

# ~' b. A7 |' Z9 o  v; j0 h##定义VRRP script
0 Q2 Y6 x  q! \# q, ]vrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
. w, X" f/ L3 S5 r6 q% {    script |  #shell命令或脚本路径
    interval [I]               #间隔时间，单位为秒，默认1秒
* r2 C7 l8 e! e3 r2 `5 X    timeout [I]                #超时时间
& }, }2 K3 d% N# s/ ?    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
5 L+ {+ z$ b/ N/ |& v3 T    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
9 k$ s6 K  K4 n0 E; w9 C2 K3 f, F" s    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
. P7 C6 J# }+ Q4 _    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
. y, i( L" ^$ @3 ~; x  [& d$ q    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
}

##调用VRRP script
- W0 t; I6 W" Y- Z- Qvrrp_instance VI_1 {
( N+ s" s8 T4 z3 B% {    …
    track_script {
* F, V$ q* q$ p% x        chk_down
/ J( r9 _6 g" V8 e7 h% C  }
4 m6 s1 B% N& a$ k}
实现HAProxy高可用
' E1 q' q4 ]% N/ X##在两个节点修改内核参数
[root@node5 ~]# vim /etc/sysctl.conf
8 W5 n2 B6 n+ c0 a. d& F, j[root@node5 ~]# sysctl -p
4 k0 T# U* h9 R6 w3 B" `7 cnet.ipv4.ip_nonlocal_bind = 1
#在两个节点先实现haproxy的配置
/ @8 m" {& c5 K+ I' N8 O! u[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
: q0 Z$ P" \9 M2 c$ dlisten stats
  mode http
  bind 0.0.0.0:9999
  stats enable
  log global
6 _: d/ t" p7 }  stats uri     /haproxy-status
% Z6 z; _4 K( `. O9 {  stats auth    haadmin:123456
" p8 Q% f* [/ x9 q. ^. Klisten  web_port
  bind 172.20.22.50:8899
  mode http
  log global
, O9 Q8 s0 m. ^7 P1 p  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
! ?# ~7 m2 o8 L% k) L  q# _3 J  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
( {" K" f: _0 |% B) T, T( S  
6 k# |+ ~6 z& H8 F  
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
' X6 e: U9 W: {( w+ Y   notification_email {
0 R+ L9 W) P) l$ G& v) J* y     root@localhost
* N7 Z2 R3 p  p9 _- x" q   }
   notification_email_from keepalived@localhost
, `! H! O5 d/ j: i, ^2 F   smtp_server 127.0.0.1
. B$ x6 y* h# w, T* S1 \# v& Q& E   smtp_connect_timeout 30
( \) _$ t) d# N1 x( d1 q/ w8 a   router_id node5                 #在另一个节点为node8
- ]. [3 o! c& `' _$ L   vrrp_mcast_group4 224.20.0.20
}
vrrp_script check_haproxy {        #定义脚本
$ w. c5 Z' b9 g' X/ p' i    script "/etc/keepalived/chk_haproxy.sh"
8 v! ^. X. ^! T$ A" D: ^8 [    interval 1
/ _' l3 n0 k* W. H" M( v! w( D8 B, p2 W    weight -30
6 Y$ m0 [' S8 W, c$ ]! j    fall 3
    rise 2
}
7 {" [  Q6 M; b( D6 Pvrrp_instance VI_1 {
+ Q+ c0 W4 {9 g! z5 N4 D    state MASTER                 #在另一个节点为BACKUP
    interface eth0
9 A$ O! z9 a* u; Q. v# U& H    virtual_router_id 65
* C( w$ x) M6 m1 r2 G3 b' j    priority 100                 #在另一个节点为80
- v0 D! q, }8 w; I2 M    advert_int 1
( U5 h- ?! i4 s, n. k  I* h    authentication {
  x  f1 y) F6 C8 d2 d( J        auth_type PASS
! T0 d" c& W2 p7 ?9 g        auth_pass PbP2YKme
/ D( a# \7 e, x    }
% J0 b3 U; K' Q: U% m8 f    virtual_ipaddress {
! N1 s" q: _  Y1 y/ [        172.20.22.50/16 dev eth0 label eth0:0
    }
    track_script {
        check_haproxy            #调用上面定义的脚本
    }
7 j" b/ }! M0 t    notify_master "/etc/keepalived/notify.sh master"
# R+ B4 L* c6 P    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault  "/etc/keepalived/notify.sh fault"
9 M( H8 A7 Y( ~  o}
; o5 E% @+ T; K; ]
8 C/ y( c5 D1 H  e( |3 ]* ?3 a) B1 Q[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
#
contact='root@localhost'
notify() {
  local mailsubject="$(hostname) to be $1, vip floating"
2 U0 t: `) C, R: {- t9 ]' Y  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
1 M$ c$ `, y& A2 ?) X( Q( j  echo "$mailbody" | mail -s "$mailsubject" $contact
3 L- ?1 j# N* |9 k2 I}
2 y8 C- [4 X- Y- v/ i0 g7 j  u" k3 Ncase $1 in
% e, d) m1 {# O( }/ a8 E! @% ?5 ^master)
  systemctl start nginx
  notify master
  ;;
backup)
  P, m2 ^1 d1 C% [/ l2 B4 A  systemctl start nginx
9 |/ X8 Z5 Y% }* X  notify backup
  ;;
+ H* C: g8 b! ~% zfault)
  systemctl stop nginx
$ P! ]% }  c+ e  notify fault
% W7 V: J: o+ v  ;;
*)
  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
   ;;
esac

9 G8 t3 a8 R3 _4 w[root@node5 ~]# yum install -y psmisc
[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
#!/bin/bash
) R6 r2 C7 Y: I8 a/usr/bin/killall -0 haproxy