keepalived配置和使用

[db:作者]

一、详解keepalived配置和使用
keepalived使用
keepalived介绍
vrrp 协议的软件实现，原生设计目的为了高可用 ipvs服务

官网：Keepalived for Linux

功能：

基于vrrp协议完成地址流动

为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)

为ipvs集群的各RS做健康状态检测

基于脚本调用接口完成脚本中定义的功能，进而影响集群事务，以此支持nginx、haproxy等服务
8 G2 s. A: m  d, u- ]- cKeepalived 架构
官方文档：Keepalived User Guide — Keepalived 1.4.3 documentationKeepalived for Linux

用户空间核心组件：
[ol]       vrrp stack：VIP消息通告       checkers：监测real server       system call：实现 vrrp 协议状态转换时调用脚本的功能       SMTP：邮件组件       IPVS wrapper：生成IPVS规则       Netlink Reflector：网络接口       WatchDog：监控进程[/ol]
% K! |# r+ l/ z5 N

控制组件：提供keepalived.conf 的解析器，完成Keepalived配置

IO复用器：针对网络目的而优化的自己的线程抽象

内存管理组件：为某些通用的内存管理功能（例如分配，重新分配，发布等）提供访问权限
环境准备
( k2 N; ]" F8 b% p& U  t$ x' a" t0 a

各节点时间必须同步：ntp，chrony

关闭防火墙及SELinux

各节点之间可通过主机名互相通信：非必须

建议使用/etc/hosts文件实现：非必须

各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信：非必须
2 h7 r* x( f2 a# M8 Ikeepalived配置
配置文件组成部分
3 q& I3 S( s: j配置文件：/etc/keepalived/keepalived.conf

& z) _: V% u1 `9 d0 o5 ^配置文件组成部分：

GLOBAL CONFIGURATION
       Global definitions：定义邮件配置，route_id，vrrp配置，多播地址等
- ?6 D# H2 ]; T1 ?& I" \
" f5 v. \) c' S% S- Y+ b6 uVRRP CONFIGURATION
- |' G% ?) U/ ^4 k       VRRP instance(s)：定义每个vrrp虚拟路由器

7 H6 a. f6 N1 [1 \( e" P+ WLVS CONFIGURATION
: D) f, ~6 V; U$ s. f9 |# [       Virtual server group(s)

       Virtual server(s)：LVS集群的VS和RS
3 h0 Y& S0 m1 x" [7 b: l3 q. w# O
  F; ?/ g3 }* h7 V! d& Z5 _
配置文件语法
: W* x4 R" r9 q1 h+ h当生产环境复杂时， /etc/keepalived/keepalived.conf 文件中内容过多，不易管理，可以将不同集群的配置，比如：不同集群的VIP配置放在独立的子配置文件中，利用include 指令可以实现包含子配置文件
( _. g0 ^& x$ k( e
全局配置

0 g2 s5 {! e0 y7 i6 l* K6 @) Jglobal_defs {
; L& r5 w2 u! N   notification_email {
     root@localhost   #keepalived发生故障切换时邮件发送的目标邮箱，可以按行区分写多个
   }
   notification_email_from keepalived@localhost   #发邮件的地址
   smtp_server 127.0.0.1     #邮件服务器地址
1 f4 b" h$ p  |. u$ N* j+ p   smtp_connect_timeout 30   #邮件服务器连接timeout
$ ~. V( l2 ~- c4 [* Q   router_id LVS_DEVEL       #每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响
3 Q% l+ [8 K" @2 R+ ?8 m) m   vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
0 B4 W5 H. F. Z" F9 v, q4 w   vrrp_strict         #严格遵守VRRP协议,禁止以下状况:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项会自动开启iptables防火墙规则，建议关闭此项配置
- s* r. Y- v2 o   vrrp_garp_interval 0   #gratuitous ARP messages报文发送延迟，0表示不延迟
   vrrp_gna_interval 0    #unsolicited NA messages （不请自来）消息发送延迟
4 U( v6 h+ u$ F2 G   vrrp_mcast_group4 224.0.0.18    #指定组播IP地址，默认值：224.0.0.18 范围：224.0.0.0到239.255.255.255
   vrrp_iptables    #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
" L+ o- _# ^/ w+ c}
. [, B+ [! j9 E" n. g$ t) M: Q" D
include /etc/keepalived/conf.d/*.conf #将VRRP相关配置放在子配置文件中
% W1 u( U7 H. ?( V/ U/ V配置虚拟路由器
8 ]- A, G- Q/ w, l
* r: T. Z* v3 M- I' M& |- Qvrrp_instance  { #为vrrp的实例名,一般为业务名称
5 A8 o% e  d0 Y- c5 b  配置参数
8 ^! G, t! b* {0 @( i% e( B  ......
}
#配置参数：
state  MASTER|BACKUP     #当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
interface IFACE_NAME     #绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
" `: I, T* N' F8 b) x! ]virtual_router_id VRID   #每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同
priority 100       #当前物理节点在此虚拟路由器的优先级，范围：1-254，每个keepalived主机节点此值不同
advert_int 1       #vrrp通告的时间间隔，默认1s
, B. L: w; ~1 p6 Gauthentication { #认证机制
  auth_type AH|PASS
  auth_pass  #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
# ~/ i3 g" t$ z6 `/ t" h}
virtual_ipaddress { #虚拟IP
; n8 X8 \! F) f0 c5 b  ?    [I]/ brd [I] dev  scope  label
( \8 {* {4 }  Q    192.168.200.100         #指定VIP，不指定网卡，默认为eth0,注意：不指定/prefix,默认为/32
    192.168.200.101/24 dev eth1                 #指定VIP的网卡
3 Z- t: m% G  O9 G) Y. d; _    192.168.200.102/24 dev eth2 label eth2:1    #指定VIP的网卡label
}
track_interface { #配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移
    eth0
; |6 T& p" E/ E% @) H9 ]    eth1
, }: c5 X& B# a; O    …
7 I/ M  a3 h# l  e& ~}  
启用keepalived日志功能
% R8 \, Y+ j& q# k" A[root@node5 ~]# vim /etc/sysconfig/keepalived
KEEPALIVED_OPTIONS="-D -S 6"
- ?& t1 z2 z2 x: P: O% a4 v# n[root@node5 ~]# vim /etc/rsyslog.conf
: S' e: y6 f# M  B$ t9 P# Glocal6.*                                                /var/log/keepalived.log
[root@node5 ~]# systemctl restart keepalived.service rsyslog.service
6 u. J* X: \# R% @1 t$ z3 J- p- c[root@node5 ~]# tail -f /var/log/keepalived.log
3 l! @: ^2 j' w8 p0 [' X% ?2 G
& |2 x, H. N& q- t6 ^7 R二、keeplived 结合nginx 实现高可用
keeplived+nginx节点1:172.20.21.170
" z# ]3 O: N. L5 H5 S
4 F/ e0 P+ Q  nkeeplived+nginx节点2:172.20.21.175
9 `* N* `4 D) }) ^
后端web服务器1:172.20.22.11

后端web服务器2:172.20.22.12

#先准备好两台后端web服务器
/ L% e$ I3 {. U4 n5 f' C- D) b[root@localhost ~]# yum install -y httpd
7 A- q, C. t7 ?. |0 y2 `& M0 ~[root@localhost ~]# echo 'web1 172.20.22.11'
7 m9 T- [! E# C* A! h; X) J0 Q[root@localhost ~]# systemctl start httpd
#访问测试
[root@localhost ~]# curl 172.20.22.11
! l+ K) h6 _9 C! ~: i) G+ \web1 172.20.22.11
[root@localhost ~]# curl 172.20.22.12
' \+ b! `# d4 F" Qweb2 172.20.22.12
7 p0 n( s. `' S- G# j1 ?
$ C7 t2 d! o. A2 b& h% B#在两个节点都配置nginx反向代理
[root@node5 ~]# yum install -y nginx
) E5 ]7 c6 y3 Q" ^6 w[root@node5 ~]# vim /etc/nginx/nginx.conf
http {
    upstream websrvs {
        server 172.20.22.11 weight=1;
, Y0 R/ r  V* w" N2 {        server 172.20.22.12 weight=1;
    }
6 E) W! Y- Z8 q3 H8 s    server {
+ ~1 O: w6 e8 @8 [        listen 80;
        server_name www.a.com;
. d. D1 Q2 H9 X. D( I" E+ A        location / {
            proxy_pass http://websrvs/;
( ]# A7 _  _- t) [# Q        }
5 K& P# ?! F: @& C" K' A    }
( c8 W9 }% z" ~5 `- a4 @% E* I}

#在两个节点都配置实现nginx反向代理高可用
' M- I$ W. L- O5 T5 N[root@node5 ~]# cat /etc/keepalived/keepalived.conf
# X1 {* m& E1 q4 e* P5 `5 Nglobal_defs {
; q; `  M) r7 i) |1 m   notification_email {
! c8 V. F# ~9 M/ t3 E4 f     root@localhost
0 \6 ~2 F2 D% t+ G   }
1 A1 d) L6 f, |. c" I4 A2 v   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
   smtp_connect_timeout 30
   router_id node5               #另一个节点为node8
   vrrp_mcast_group4 224.20.0.18
- w, z) C3 x6 p' I8 F% g" f" X1 x9 {% t}

: l: M: M- m) Z% h, [- Wvrrp_instance VI_1 {
    state MASTER                   #在另一个节点为BACKUP
    interface eth0
/ S9 x$ b& l- N2 z" V    virtual_router_id 65
& O0 x$ i# J, y3 N% k, g9 e9 b3 H    priority 100                   #在另一个节点为80
9 u/ ~( O+ _& ?! b+ [  A    advert_int 1
    authentication {
- }8 r" Q3 v* S5 z3 N        auth_type PASS
        auth_pass PbP2YKme
    }
    virtual_ipaddress {
        172.20.22.50/16 dev eth0 label eth0:0
    }
( k6 c5 e. |- N* X5 [}

[root@node5 ~]# cat /etc/keepalived/keepalived.conf
" y# u5 J) F. c[root@node5 ~]# systemctl start keepalived
[root@node5 ~]# ifconfig eth0:0
eth0:0: flags=4163[U]  mtu 1500
        inet 172.20.22.50  netmask 255.255.0.0  broadcast 0.0.0.0
        ether 00:0c:29:47:bb:03  txqueuelen 1000  (Ethernet)

/ l- X5 W9 a3 i8 J##访问172.20.22.50测试，当170的keepalived进程挂了之后vip：172.20.22.50会自动转移到175上，用户访问172.20.22.50不受影响。当170的keepalived进程恢复之后，170的设定的优先级比175的高，所以vip又会自动转移回170上。
[root@localhost ~]# while true;do curl http://172.20.22.50;sleep 1;done
web2 172.20.22.12
# b! j' F* ]$ u  Y; U" vweb2 172.20.22.12
1 e5 E0 v0 E( U+ Q6 C9 }web1 172.20.22.11
web2 172.20.22.12
5 x  K6 H# g# v8 _, J( Lweb1 172.20.22.11

三、keepalived脑裂产生的原因以及解决的办法
keepalived脑裂产生的原因
脑裂（split-brain）：指在一个高可用（HA）系统中，当联系着的两个节点断开联系时，本来为一个整体的系统，分裂为两个独立节点，这时两个节点开始争抢共享资源，结果会导致系统混乱，数据损坏。
! R1 O4 M1 [/ _3 V. {. G/ l& h% x: u7 v
一般来说裂脑的发生，有以下几种原因：

; f% p5 H, H6 \. _% d[ol]

心跳线断开或连接心跳线的中间故障（交换机等）；

设备故障，网卡及相关驱动存在问题；

iptables防火墙阻挡IP或阻挡VRRP协议传输；

virtual_router_id两端参数配置不一致；[/ol]
keepalived脑裂解决办法
+ |5 a& e2 z6 Y+ W8 W一般采用2个方法：

1、仲裁

3 n5 P, U* i. n  ]  当两个节点出现分歧时，由第3方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西。
4 C6 s2 z" o! v3 [+ M( |. s
1 _  L9 t" k% I% _* a5 n4 y2、fencing

1 ~# M) `- \1 ^1 n  Z( I; ?. H  当不能确定某个节点的状态时，通过fencing把对方干掉，确保共享资源被完全释放，前提是必须要有可靠的fence设备

. V! R' s) |3 D9 x* q) x' r
. H6 l1 g" Q" k$ H四、实现keeplived监控，通知
keepalived利用 VRRP Script 技术，可以调用外部的辅助脚本进行资源监控，并根据监控的结果实现优先动态调整，从而实现其它应用的高可用性功能
7 R  r* i5 X$ P3 z
实现Keepalived 状态切换的通知脚本
" ^7 [/ N! q0 K% y) h: D2 j#在所有keepalived节点配置如下
[root@node3 ~]# cat /etc/keepalived/notify.sh
" o$ w# v: ^! @( i' |  Q5 j0 m, v/ T#!/bin/bash
8 l0 @9 w/ S' G4 u& U- ?) W#
contact='root@localhost'
notify() {
  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
  echo "$mailbody" | mail -s "$mailsubject" $contact
}
case $1 in
0 q% a2 f; b* d9 b7 B, M$ Y9 H" \3 i( bmaster)
  systemctl start nginx
  notify master
" i. W8 D) u. p9 y8 |! j. b  ;;
backup)
  systemctl start nginx
  notify backup
  ;;
4 _% w: T$ q2 j1 W" y2 Gfault)
  systemctl stop nginx
7 I' A* m/ \. w' P" r( }  notify fault
( a- _5 U# f# b* h3 o5 t  ;;
*)
3 p9 V2 X9 H; z3 r) k1 a& _  echo "Usage: $(basename $0) {master|backup|fault}"
/ ]- ~6 o/ @8 L  exit 1
   ;;
7 f2 x; W: s1 E& m8 Xesac
5 K. f. e$ s! x' [
##配置示例
[root@node5 ~]# vim /etc/keepalived/keepalived.conf
vrrp_instance VI_1 {
......
$ ^. W/ q- q+ t7 Y    virtual_ipaddress {
        192.168.30.77/24 dev eth0 label eth0:0
    }
    notify_master "/etc/keepalived/notify.sh master"
' r& p+ M2 a# h+ G0 \) ?- C2 W1 P    notify_backup "/etc/keepalived/notify.sh backup"
( T* m+ O! v9 n" [% w* s% v! s    notify_fault "/etc/keepalived/notify.sh fault"
6 v( [, F9 q5 H) B}

" X8 f7 {9 U5 [/ ?; R' ]' m3 {VRRP Script 配置
分两步实现：
3 \7 C# f- `. a
2 _$ M* O- G; F) M! i1、定义脚本

  vrrp_script：自定义资源监控脚本，vrrp实例根据脚本返回值，公共定义，可被多个实例调用，定义在vrrp实例之外的独立配置块，一般放在global_defs设置块之后。

9 z! ~0 o- v7 ^# b  通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常，则触发对MASTER节点的权重减至低于SLAVE节点，从而实现 VIP 切换到 SLAVE 节点
* p. x# v% D. {3 U( H5 q
$ N2 M4 a! z; W* h, Z2、调用脚本

  track_script：调用vrrp_script定义的脚本去监控资源，定义在实例之内，调用事先定义的vrrp_script

( U, R: ~; [1 L- z##定义VRRP script
vrrp_script  {          #定义一个检测脚本，在global_defs 之外配置
    script |  #shell命令或脚本路径
    interval [I]               #间隔时间，单位为秒，默认1秒
! L' C: @" g; }, ~    timeout [I]                #超时时间
    weight [I]       #此值为负数，表示fall（（脚本返回值为非0）时，会将此值与本节点权重相加可以降低本节点权重，如果是正数，表示 rise （脚本返回值为0）成功后，会将此值与本节点权重相加可以提高本节点权重，通常使用负值较多
    fall [I]                   #脚本连续监测成功后，把服务器从成功标记为失败的次数
/ ^9 j+ ]- I/ C; T2 Z7 z- u    rise [I]                   #脚本连续监测成功后，把服务器从失败标记为成功的次数
    user USERNAME [GROUPNAME]        #执行监测脚本的用户或组
1 }2 s! U8 X* x# t: R    init_fall                        #设置默认标记为失败状态，监测成功之后再转换为成功状态
2 [2 y  }: {, l5 n. k}
+ u& d5 x/ p) D; V1 I
##调用VRRP script
vrrp_instance VI_1 {
    …
7 B& P  v/ F& ~2 }) m2 F    track_script {
        chk_down
  }
4 j( m& A- i3 H6 U" h4 |- V7 f' }% G, C}
实现HAProxy高可用
##在两个节点修改内核参数
8 e7 [) c+ X: q[root@node5 ~]# vim /etc/sysctl.conf
[root@node5 ~]# sysctl -p
! [% c. D) d$ N& i8 |net.ipv4.ip_nonlocal_bind = 1
#在两个节点先实现haproxy的配置
. Z, }1 K  E$ g4 x[root@node5 ~]# cat /etc/haproxy/haproxy.cfg
5 A  O( U3 x" t/ l: B1 Y. j& d0 blisten stats
: \) |7 A! \9 K$ G2 \! g/ _5 s  mode http
9 M0 b. Q) C" h3 N6 U, W  R  bind 0.0.0.0:9999
  stats enable
6 c! q( l+ `2 p9 w% Z* h/ e  log global
& D8 ?; y& r( O  stats uri     /haproxy-status
. B& p/ J# q8 \# Z8 b" C9 z  stats auth    haadmin:123456
( c! S% s/ h7 P4 p4 ^. _! zlisten  web_port
: |* y, v% L9 `: U9 C7 h  bind 172.20.22.50:8899
" t( b6 G( g9 a  mode http
( h* h4 g% E! E) ~% y  log global
# f; d4 G+ [/ B8 v0 {  server web1  172.20.22.11:80  check inter 3000 fall 2 rise 5
  server web2  172.20.22.12:80  check inter 3000 fall 2 rise 5
# e8 m7 n; ?# k" r$ H$ l  
: M2 z) ^( u1 A6 {; W7 [+ e& H  
& z# g& s/ V* N, A! b% H: c0 G[root@node5 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
   notification_email {
2 h* S; J! _0 L9 W     root@localhost
8 n$ }  }& |) Q   }
   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
5 P" H3 m3 f& [) f8 T- F( c/ L+ d   smtp_connect_timeout 30
   router_id node5                 #在另一个节点为node8
* `( M3 E5 n  p  Y$ V) D2 W   vrrp_mcast_group4 224.20.0.20
. l# \. ]$ ?; ?1 M/ C! ]}
vrrp_script check_haproxy {        #定义脚本
; S. `  p( V7 d& _. {/ B    script "/etc/keepalived/chk_haproxy.sh"
    interval 1
" M; n3 @" e: ]3 P5 Q    weight -30
    fall 3
    rise 2
; \) s' Y; D9 v* [5 D6 d0 a}
vrrp_instance VI_1 {
' T6 H; `. Y  U: k# Q    state MASTER                 #在另一个节点为BACKUP
    interface eth0
    virtual_router_id 65
    priority 100                 #在另一个节点为80
    advert_int 1
  p2 ]8 B; B( h1 F, R    authentication {
. [/ O" Q! k4 ?5 A        auth_type PASS
        auth_pass PbP2YKme
: V6 G$ w7 v  z9 U    }
3 E" a8 k* _% {$ q4 @" D4 n    virtual_ipaddress {
        172.20.22.50/16 dev eth0 label eth0:0
4 a) q0 d/ b" ]" K  [4 z! u2 Z4 v    }
9 a- e6 O) v4 ?& t: l    track_script {
! p2 m: S# U3 i; y        check_haproxy            #调用上面定义的脚本
    }
$ [* B# z0 E7 |& q  Z, ~5 @7 N    notify_master "/etc/keepalived/notify.sh master"
, F/ \2 U! _$ m    notify_backup "/etc/keepalived/notify.sh backup"
, G6 d; w5 S  L6 [, e8 }& P" \    notify_fault  "/etc/keepalived/notify.sh fault"
}
, |6 m. l. m  t) G5 k
4 t/ ]  y2 J$ b0 M6 H' t& u$ o[root@node3 ~]# cat /etc/keepalived/notify.sh
#!/bin/bash
#
$ w9 V/ M. ]( M9 jcontact='root@localhost'
9 C' _; I3 B6 v0 ^notify() {
  local mailsubject="$(hostname) to be $1, vip floating"
  local mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"
& _) l, y7 C/ s$ ~. c$ |1 g  echo "$mailbody" | mail -s "$mailsubject" $contact
}
" m/ n6 R: a" P. D; c8 w& ~9 Acase $1 in
/ I& F% u" a, \% p% {, b$ Z+ R6 }master)
  systemctl start nginx
- @7 C5 V" {  M; Q* k$ w  notify master
0 c4 o+ D- M1 s! t4 _  ;;
backup)
  systemctl start nginx
  notify backup
& b! n1 {, V% T9 q% G  ;;
fault)
) N' u# ^& Q1 w  systemctl stop nginx
- P& d# S4 K' v$ d# L  notify fault
  S0 n) u! j% Y0 r: R% d( B  ;;
*)
  echo "Usage: $(basename $0) {master|backup|fault}"
  exit 1
   ;;
esac

8 q% Q) \1 f; L  C: F# J[root@node5 ~]# yum install -y psmisc
[root@node5 ~]# cat /etc/keepalived/chk_haproxy.sh
* i* |' W9 i( o! P% _# e#!/bin/bash
0 e. z3 S1 m$ H" I* A/usr/bin/killall -0 haproxy