keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
: ]$ w  c$ m9 A9 T( ^$ F- C! h. x* ~keepalived使用
keepalived介绍
vrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务

. `" f  ~& f9 e$ o1 o2 N  o官网：Keepalived for Linux

  n; c9 g7 `5 s9 z* ^功能：
+ s' c# ^8 U" h/ ^: F1 b3 n8 z
. l# p; {4 ^5 y* T  I$ L

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
" E, w1 ^& G! s* r# O; RKeepalived 架构
  R3 c# O- O- {: d. k+ B: k官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux
/ `: C. D$ ^  ]+ f

用户空间核心组件：
5 Y0 x. M/ L( a  z" z6 [( d8 i7 a. N[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
环境准备

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
keepalived配置
配置文件组成部分
5 x; x( F! S: j3 ?  _2 w: ?6 @配置文件：/etc/keepalived/keepalived.conf
  J/ l5 b1 v9 d- z2 b
配置文件组成部分：

5 `/ @2 z9 r' j: ^GLOBAL CONFIGURATION
       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等
. L) f; l. Z3 @& h+ }+ I5 v
; _2 M' n, j4 ~5 CVRRP CONFIGURATION
7 ^/ c% X3 W+ f$ K. I       VRRP instance(s)：定义每个vrrp虚拟路由器
, J& H- ]4 w- L1 d" x5 d
& v" H' Z* r" |- ?( NLVS CONFIGURATION
6 F3 Q- B$ p0 C9 ~, t+ ^       Virtual server group(s)

. H8 G/ ?& ?* q3 n       Virtual server(s)：LVS集群的VS和RS
. o8 G! T, i8 A
  F* C/ U  D) b) \" S% e
配置文件语法
- d; `8 t$ R, c1 ^2 ~5 ~- P当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件
1 h% ]  T" }$ ^. m
全局配置
( Q" B" _" @9 O  [
/ j& p9 d4 P$ |3 O0 }global_defs {
   notification_email {
     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
0 E1 I0 D  @3 O- B3 `- I; A/ Z   }
! J& S) Q. x, w9 y/ P; r# L1 x6 y   notification_email_from keepalived@localhost   #发邮件的地址
0 P! g6 u0 `) t4 o, ]. q$ M+ O   smtp_server 127.0.0.1     #邮件服务器地址
   smtp_connect_timeout 30   #邮件服务器连接timeout
   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
6 S' h  r2 \$ B; T3 F   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
% m) k' T4 N' n}
. n  o( O, R! N6 ]& ^! }7 @! ~
. C) f% ]1 e9 T% b3 @include /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
配置虚拟路由器

vrrp_instance  { #为vrrp的实例名,一般为业务名称
  配置参数
  ......
}
#配置参数：
# i, R/ _2 A  ~- p) S2 W4 ~* Estate  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
# [# j6 W" g2 @" ointerface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
' T7 N2 J" T+ B$ {5 \virtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
priority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
advert_int 1       #vrrp通告的时间间隔，默认1s
+ \& T% a! N( I9 H" Lauthentication { #认证机制
  auth_type AH|PASS
9 ~, Z1 ^' ], ?2 R; K  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
}
virtual_ipaddress { #虚拟IP
" X; A0 l* k" c    [I]/ brd [I] dev  scope  label
    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
; K$ d0 C4 v8 L: U4 s    192.168.200.101/24 dev eth1                 #指定VIP的网卡
    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
}
track_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
    eth0
  R0 E- m+ c3 {( L" k* ]    eth1
4 _3 S1 D* z5 a5 a, h; j6 ~2 E# e    …
}  
+ ]5 P1 T5 c& O% E" \1 H0 [启用keepalived日志功能
[root@node5 ~]# vim /etc/sysconfig/keepalived
KEEPALIVED_OPTIONS="-D -S 6"
[root@node5 ~]# vim /etc/rsyslog.conf
local6.*                                                /var/log/keepalived.log
  E- W$ P9 }; T[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
- X& Q: E: w1 i2 h& L; A- \% o# _$ \[root@node5 ~]# tail -f /var/log/keepalived.log
3 p& x; \5 H, W2 \  T. m" {1 b! X
) O0 ]4 H( e8 ^- R二、keeplived 结合nginx 实现高可用
keeplived+nginx节点1:172.20.21.170
. o4 O& n8 A0 V1 a) Q: @7 f
6 ~5 [- o8 k. H, J/ R) ykeeplived+nginx节点2:172.20.21.175
" F8 z; n4 C5 h8 x# Y1 _
" u1 ~$ S. Y" f' P4 _# E后端web服务器1:172.20.22.11

& L- `& K9 U( i7 s- C后端web服务器2:172.20.22.12
+ T$ N: R: m4 p$ m4 m. r/ v, t5 ~
#先准备好两台后端web服务器
; {2 p2 l/ f/ q[root@localhost ~]# yum install -y httpd
# O- l1 p' h9 z' }" h[root@localhost ~]# echo 'web1 172.20.22.11'
3 U/ o9 k; f# M* |# S5 V[root@localhost ~]# systemctl start httpd
#访问测试
/ D: [# M' d! G( ]- U1 B5 L: t, Q[root@localhost ~]# curl 172.20.22.11
" n8 X+ w$ K' Y& R! _9 Y6 k1 Xweb1 172.20.22.11
[root@localhost ~]# curl 172.20.22.12
) Q6 s+ _  T6 r3 d/ [3 Y* F- q/ Fweb2 172.20.22.12

#在两个节点都配置nginx反向代理
2 P8 J9 }# A% R" Y[root@node5 ~]# yum install -y nginx
[root@node5 ~]# vim /etc/nginx/nginx.conf
" v1 o- W2 n+ u% U! ]$ }http {
1 ]- p2 |' `8 w9 i* x/ O( Y0 Q    upstream websrvs {
4 l. e; j6 }$ N: }* P        server 172.20.22.11 weight=1;
; @4 x! E: r3 o$ k) H# V2 C% Q+ V        server 172.20.22.12 weight=1;
    }
, l/ I; v9 G6 l/ G% \" ]( f9 V    server {
7 M% s( \  G: P% m8 C4 Y1 d        listen 80;
  a# Y2 l/ H) [$ Z6 u        server_name www.a.com;
        location / {
            proxy_pass http://websrvs/;
        }
4 q. N& b5 f# Y/ A' z9 Q+ r    }
" n% B$ c" x# V; U( g1 Y& w}

9 ^; `5 i) m  k2 J1 ]2 `8 o( q% v#在两个节点都配置实现nginx反向代理高可用
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
! r' J2 m/ i' F9 n% S# oglobal_defs {
7 [+ Q5 U0 Q2 Q4 t# G  H   notification_email {
     root@localhost
   }
   notification_email_from keepalived@localhost
  u0 e' d$ t. S   smtp_server 127.0.0.1
   smtp_connect_timeout 30
* a( q/ r2 [% y. S4 z/ C   router_id node5               #另一个节点为node8
$ C. V/ u: b1 Y0 U0 c( l   vrrp_mcast_group4 224.20.0.18
- a6 t2 g: j& F* R0 [" m9 D}
! O' d+ r6 R$ H: R! ~
vrrp_instance VI_1 {
  O% U2 s0 z2 a  }6 P9 S& f- G    state MASTER                   #在另一个节点为BACKUP
! y! ~# Z6 {( i' o% X$ y    interface eth0
% Z# [) v) Z2 K    virtual_router_id 65
. A  Z8 h* i; g: o5 f! _    priority 100                   #在另一个节点为80
1 x+ w7 W% i# j& W% L    advert_int 1
    authentication {
7 x# ?& y) j+ O0 x  T& G$ ~2 l2 G        auth_type PASS
1 |: w0 l( x" l( M/ \2 @4 e        auth_pass PbP2YKme
    }
2 h* r" R: A! p" T1 c" q    virtual_ipaddress {
9 V0 w, t  Z+ ]: T- H        172.20.22.50/16 dev eth0 label eth0:0
/ W1 ]& n! s' `1 Q3 t    }
5 t9 [, A1 F: D; e# @3 _+ }* P) X}
) O  J5 a7 E5 M3 ^4 d3 p' R3 t) d  N
[root@node5 ~]# cat /etc/keepalived/keepalived.conf
+ F' S/ F7 v( ~% G* g[root@node5 ~]# systemctl start keepalived
. ^% b( h6 |4 U8 v( _[root@node5 ~]# ifconfig eth0:0
eth0:0: flags=4163[U]  mtu 1500
+ V7 t  l+ L2 q" t        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
$ b" E5 S% u: Q        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)

* Q! D, v9 Z+ f7 }  G. e##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
) I. c, K9 l) v7 J$ K/ Z[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
web2 172.20.22.12
2 D# Z3 p+ O0 I" R4 x% S3 G6 `web2 172.20.22.12
# Q0 p& x4 L" }1 s0 o+ q1 \$ Kweb1 172.20.22.11
: ^# t3 ?* s: \9 N1 X$ bweb2 172.20.22.12
/ C6 n7 v  T" y0 L+ L$ gweb1 172.20.22.11
8 ]! B8 l$ A+ b8 X5 X
1 @1 W  Z  \; ?; g2 d8 p$ J' d三、keepalived脑裂产生的原因以及解决的办法
; F  e2 k# u& u7 I& k$ s/ D$ T9 Ckeepalived脑裂产生的原因
; b6 w9 R: h. R0 _; Y" Z7 l" Z$ R脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。
; b# T5 J' W% D% _7 c
一般来说裂脑的发生，有以下几种原因：

[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
keepalived脑裂解决办法
一般采用2个方法：
4 ~! M# K8 W% q9 Y
1、仲裁

- A0 O6 r/ }% S' N* M" z, L  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。
4 f. ~& R& [% f6 K4 [* o6 N, n
2、fencing

  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备


四、实现keeplived监控，通知
9 c) u4 G- V# c+ h# P- |keepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能

实现Keepalived 状态切换的通知脚本
#在所有keepalived节点配置如下
[root@node3 ~]# cat /etc/keepalived/notify.sh
/ D4 c3 O0 J+ r  b& r; U#!/bin/bash
#
/ T7 U$ d4 `: U1 O6 q  {  Q# Mcontact='root@localhost'
0 a2 s3 q0 q- knotify() {
) M0 I2 _7 l* Z8 T5 i  local mailsubject="$(hostname) to be $1, vip floating"
8 I# v1 K6 S/ F0 {  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
8 Q/ a2 F5 }; W5 i8 Z}
/ C6 q/ b9 Y4 l: M2 Ocase $1 in
9 j5 l8 O% Y( [" @- t: [/ mmaster)
. J0 F0 U+ V, N' J! l  systemctl start nginx
. M; T/ n; l0 [4 g% Q" @# E  notify master
  ;;
backup)
  systemctl start nginx
  notify backup
  ;;
5 m+ n1 E/ T# v6 S$ ^9 h; {fault)
# k! ]4 D5 ^" Q6 _% U+ @  systemctl stop nginx
; I, c/ G* V4 {2 r' N8 Y! m  notify fault
  ;;
*)
  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
   ;;
/ X- {- M, I# b9 A' V, b, P/ z! nesac

" m/ d3 J2 F+ q2 z% @: e+ T##配置示例
[root@node5 ~]# vim /etc/keepalived/keepalived.conf
vrrp_instance VI_1 {
  ]; Q# @+ @6 f0 a( c+ k......
) ?) m% C9 R, a5 P: G    virtual_ipaddress {
7 L' k$ V  }8 ]3 _  u- b8 o        192.168.30.77/24 dev eth0 label eth0:0
/ u! H  J! Y* t; A; _: P    }
, P5 V; ^1 \$ f0 b+ O    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
/ l" [" `& T5 ]7 n9 j" g/ i    notify_fault "/etc/keepalived/notify.sh fault"
( K+ V. }8 P3 O! ^4 k# P- h6 C# T; O}
/ [& d. I- y& f( Z; R
VRRP Script 配置
* Z( n8 N7 g' x分两步实现：

2 s8 Q% C* j  B1 @. |1、定义脚本

% B! V8 H+ K+ g! Y0 J, Q  l6 a& E  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。

, `+ a5 k0 n3 {' c! X  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点

2、调用脚本
1 \$ _; h2 t8 j: D! F
( p. e$ T  |# ~9 r  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script

##定义VRRP script
( E" y% s4 [7 I+ D( @: G$ F; [vrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
$ ?$ c5 y, s+ g$ p1 P* d3 e5 Z& C    script |  #shell命令或脚本路径
! G( w/ C- w$ ]2 X# ?, T7 n9 Y    interval [I]               #间隔时间，单位为秒，默认1秒
1 ~5 {9 ?+ M# k+ j0 i! @8 a    timeout [I]                #超时时间
    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
; T' N7 d$ A$ z    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
6 ]. Z; e. ~; k# D4 R. B! B( s    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
}
% P- R" H: |! h) H. V3 A0 a6 c
##调用VRRP script
9 d4 w9 Z) f, A$ lvrrp_instance VI_1 {
    …
    track_script {
        chk_down
8 l) c2 v5 n/ C: K  }
}
实现HAProxy高可用
% O' q0 e# H3 d. ]9 X##在两个节点修改内核参数
[root@node5 ~]# vim /etc/sysctl.conf
8 \6 Q2 N3 L: i2 a& S[root@node5 ~]# sysctl -p
! B0 l6 e/ Q( w& Znet.ipv4.ip_nonlocal_bind = 1
#在两个节点先实现haproxy的配置
& P; |& R7 l, m- k6 W[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
7 C. w' b% S0 J' r9 T$ xlisten stats
6 v; w# b( ]% y% _1 @  mode http
2 h$ R% I% {" d: m  bind 0.0.0.0:9999
  G  x9 N/ h' L6 N! _  stats enable
  log global
  stats uri     /haproxy-status
  stats auth    haadmin:123456
' l0 T/ {- k7 F7 [/ `) slisten  web_port
  bind 172.20.22.50:8899
8 }* l. Q! Q, [! x& a' F  [  mode http
  log global
( U* e) ]+ ?% S  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
  
& \9 y) B& p* y* H: K& L) J# B  
" V1 E6 K8 V7 `! {+ F2 M[root@node5 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
   notification_email {
6 k/ X  F3 E8 t3 e- M- s     root@localhost
   }
# `: n; v5 a: N7 r   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
8 `7 }* G/ k0 P   smtp_connect_timeout 30
   router_id node5                 #在另一个节点为node8
   vrrp_mcast_group4 224.20.0.20
" _/ Z! ^  `+ _3 A! u1 k# r4 o8 q}
0 [8 z; @6 p# r( F7 Vvrrp_script check_haproxy {        #定义脚本
    script "/etc/keepalived/chk_haproxy.sh"
    interval 1
  Z5 A6 ]" o4 b- w    weight -30
    fall 3
1 X0 [; `+ T2 S' V7 H/ x0 R, i    rise 2
  k- C% s1 A7 x: W; Q/ l6 {}
9 M: r( ], Y) T' ~vrrp_instance VI_1 {
    state MASTER                 #在另一个节点为BACKUP
- T1 X8 ~  Y( n- I% n5 B    interface eth0
6 C3 x4 P6 c* j1 f, w* |' z    virtual_router_id 65
    priority 100                 #在另一个节点为80
    advert_int 1
- w1 l, Q3 U, @2 b$ D3 F4 h+ f, P8 [' e7 T    authentication {
0 D2 S5 D/ v! a& l. Y        auth_type PASS
        auth_pass PbP2YKme
7 {% Z+ y* }2 y, v) _    }
& ^% C+ }, [9 x5 ]. s* x# D1 H    virtual_ipaddress {
4 B: o- H4 j5 o9 v2 ~1 n+ s        172.20.22.50/16 dev eth0 label eth0:0
    }
    track_script {
        check_haproxy            #调用上面定义的脚本
0 N9 m6 M8 B! L) ?    }
    notify_master "/etc/keepalived/notify.sh master"
5 `! }' w0 f0 n9 }7 m0 r    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault  "/etc/keepalived/notify.sh fault"
}
4 j& l: S, u; m" J4 {
# X( A$ Y/ {* N4 C4 c! R[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
#
6 d. T# y  V( j% R+ X- dcontact='root@localhost'
# i% c: f1 _  q9 y9 k$ Inotify() {
  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
7 M/ s5 K. f; e) n$ \  echo "$mailbody" | mail -s "$mailsubject" $contact
}
case $1 in
master)
  systemctl start nginx
  notify master
( E) P, [1 B: \; f  ;;
backup)
0 s: N5 b8 M) V  systemctl start nginx
7 F" u' o0 C- N/ Q9 V& S, e4 G  notify backup
  ;;
fault)
  systemctl stop nginx
  h7 W# Y) ?5 H$ D: Q& ?8 q! T0 Z  notify fault
/ Y+ }/ E4 y0 ^  ;;
*)
5 a- F1 r8 ^, _- Q2 I- r1 l& p# _  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
   ;;
: x/ {" Y5 N7 E/ desac
* K3 t# T# A1 v. k
5 D; {5 E9 w3 w& T2 E) I9 i, V[root@node5 ~]# yum install -y psmisc
[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
9 w. o1 X. N) g* D6 o3 c* d7 f1 G: t#!/bin/bash
! h4 ]% s9 y- r* C& ]! Z% d1 Q/usr/bin/killall -0 haproxy