1、Keepalived及其工作原理
Keepalived 是一个基于VRRP协议来实现的LVS服务高可用(HA)方案,可以解决静态路由出现的单点故障问题。
keepalived 高可用之间是通过VRRP进行通信,VRRP是通过竞选的来确定主备,主优先级高于备。在一个LVS服务集群中通常有主服务器(Master)和备份服务器(Backup)两种服务器,但是对外表现为一个虚拟IP,主服务器会广播VRRP报文给备份服务器,告诉备我还活着,此时备不会去抢占主;当备份服务器收不到VRRP消息的时候,即主服务器异常的时候,备份服务器就会接管虚拟IP,继续提供服务,从而保证了高可用性。
VRRP 虚拟路由冗余协议
VRRP会把多台路由器组成一个虚拟路由组vrid,VRIP回生成虚拟路由器(包含虚拟IP 和 虚拟MAC,局域网内用户不关心谁是主备,能提供服务就行)
实际上 虚拟IP是承载在Master路由器上,也就是说实际上 数据包是通过Master进行转发,master 和 backup 是通过优先级决定谁是Master ,优先级最大的是Master
Backup 只负责监听Master定时发来的VRRP报文,如果超时未收到 Master 发来的VRRP报文,Backup 就会进行抢占,虚拟IP也会随着 VIP 飘逸到 Backup 上
2、Keepalived体系主要模块及作用
故障自动切换 failover
实现LVS集群中节点健康检查 (检查 Master 和 Backup 的LVS-DR,如何 LVS-DR 是坏的,就会切换到备)
节点服务器可高用性 H A
keepalived体系架构中主要有三个模块,分别是 core、check、vrrp
●core模块:为keepalived的核心,负责主进程的启动、维护及全局配置文件的加载和解析。
●vrrp模块:(检查主、备问题)是来实现VRRP协议的。
●check模块:(检查后端服务nginx、tomcat什么的)负责健康检查,常见的方式有端口检查及URL检查。
3、LVS+Keepalived 高可用群集
主DR 服务器:ens33(192.168.190.10) ipvsadm 、keepalived(热备) 虚拟IP:192.168.190.100 网卡 ens33:0
备DR 服务器:ens33(192.168.190.20) ipvsadm 、keepalived
虚拟IP:192.168.10.180 网卡 ens33:0
Web 服务器1:ens33 192.168.190.50
lo:0(VIP)192.168.10.100
Web 服务器2:ens33 192.168.190.60
lo:0(VIP)192.168.190.100
VIP:192.168.190.100
客户端:192.168.190.200
---------------------LVS 部署-------------------------
1.配置负载调度器(主、备相同) (192.168.190.10、192.168.190.20)
systemctl stop firewalld.service
setenforce 0yum -y install ipvsadm keepalived
modprobe ip_vs
cat /proc/net/ip_vs
(1)配置keeplived(主、备DR 服务器上都要设置)*****注意主、备不一样的地方
cd /etc/keepalived/
cp keepalived.conf keepalived.conf.bak #备份
vim keepalived.conf
......
global_defs { #定义全局参数
--10行--修改,邮件服务指向本地回环地址
smtp_server 127.0.0.1
--12行--修改,指定服务器(路由器)的名称,主备服务器名称须不同,主(Master)为LVS_01,备(Backup)为LVS_02
router_id LVS_01
--14行--注释掉,取消严格遵守VRRP协议功能,否则VIP无法被连接
#vrrp_strict
}keepalived抢占模式:主挂了之后恢复,抢占回主
keepalived非抢占模式:主挂了之后恢复,不抢占回主,就当备
vrrp_instance VI_1 { #定义VRRP热备实例参数
--20行--修改,指定热备状态,主为MASTER,备为BACKUP
state MASTER
--21行--修改,指定承载vip地址的物理接口
interface ens33
--22行--修改,指定虚拟路由器的ID号,每个热备组保持一致
virtual_router_id 10
#nopreempt #如果设置非抢占模式,两个节点state必须为bakcup,并加上配置 nopreempt
--23行--修改,指定优先级,数值越大优先级越高,这里设置主为100,备为90
priority 100
advert_int 1 #通告间隔秒数(心跳频率)
authentication { #定义认证信息,每个热备组保持一致
auth_type PASS #认证类型
--27行--修改,指定验证密码,主备服务器保持一致
auth_pass 123456
}
virtual_ipaddress { #指定群集vip地址(虚拟IP)
192.168.190.100
}
}
--36行--修改,指定虚拟服务器地址(VIP)、端口,定义虚拟服务器和Web服务器池参数
virtual_server 192.168.190.100 80 { #HTTP 80 HTTPS 443
delay_loop 6 #健康检查的间隔时间(秒)
lb_algo rr #指定调度算法,轮询(rr)
--39行--修改,指定群集工作模式,直接路由(DR)
lb_kind DR
persistence_timeout 50 #连接保持时间(秒)
protocol TCP #应用服务采用的是 TCP协议
--43行--修改,指定第一个Web节点的地址、端口
real_server 192.168.190.50 80 {
weight 1 #节点的权重
--45行--删除,添加以下健康检查方式
TCP_CHECK {
connect_port 80 #添加检查的目标端口
connect_timeout 3 #添加连接超时(秒)
nb_get_retry 3 #添加重试次数
delay_before_retry 3 #添加重试间隔
}
}real_server 192.168.190.60 80 { #添加第二个 Web节点的地址、端口
weight 1
TCP_CHECK {
connect_port 80
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
}
}
##删除后面多余的配置##
}
192.168.190.10
192.168.190.20
节点服务器192.168.190.10(master)和192.168.190.20(backup)都需要配置vip(虚拟IP)
cd /etc/sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens33:0
vim /etc/sysconfig/network-scripts/ifcfg-ens33:0
DEVICE=ens33:0
ONBOOT=yes
IPADDR=192.168.190.100
NETMASK=255.255.255.255
ifup ens33:0
systemctl start keepalived
ip addr #查看虚拟网卡vip
==============================================
配置文件里有,可以不做
ipvsadm -ln
(2)启动 ipvsadm 服务
--192.168.190.10---
ipvsadm-save > /etc/sysconfig/ipvsadm
systemctl start ipvsadm
ipvsadm -ln
#如没有VIP 的分发策略,则重启 keepalived 服务,systemctl restart keepalived
--192.168.190.20---
ipvsadm-save > /etc/sysconfig/ipvsadm
systemctl start ipvsadmipvsadm -ln
192.168.190.10
192.168.190.20
(3)调整 proc 响应参数,关闭Linux 内核的重定向参数响应
vim /etc/sysctl.conf
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.ens33.send_redirects = 0sysctl -p
2.配置节点服务器192.168.190.50、192.168.190.60
systemctl stop firewalld
setenforce 0yum -y install httpd
systemctl start httpd--192.168.190.50---
echo 'this is benet web!' > /var/www/html/index.html--192.168.190.60---
echo 'this is kgc web!' > /var/www/html/index.htmlvim /etc/sysconfig/network-scripts/ifcfg-lo:0
DEVICE=lo:0
ONBOOT=yes
IPADDR=192.168.190.100
NETMASK=255.255.255.255service network restart 或 systemctl restart network
ifup lo:0
ifconfig lo:0
route add -host 192.168.190.100 dev lo:0vim /etc/sysctl.conf
net.ipv4.conf.lo.arp_ignore = 1
net.ipv4.conf.lo.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2sysctl -p
3.测试验证
在客户端访问 http://192.168.190.100/
切换故障
主(Master)服务器192.168.190.10 关闭 keepalived 服务后再测试,
systemctl stop keepalived
如果主、备 ens33:0 不配 ,192.168.190.100能不能过来
4、脑裂
1、什么是脑裂?
在高可用(HA)系统中,当联系2个节点的“心跳线”断开时,本来为一整体、动作协调的HA系统,
就分裂成为2个独立的个体。由于相互失去了联系,都以为是对方出了故障,都会去抢占主。
两个节点上的HA软件像“裂脑人”一样,争抢“共享资源”、争起“应用服务”,就会发生严重后果。共享资源被瓜分、两边“服务”都起不来了;或者两边“服务”都起来了,但同时读写“共享存储”,导致数据损坏
2、都有哪些原因导致脑裂?
高可用服务器 心跳之间发生故障,导致无法正常通信。
因心跳线坏了(包括断了,老化)。
网卡驱动坏了,ip地址冲突问题(网卡直连)
因心跳线间连接的设备故障(网卡及交换机) 仲裁的服务器出现问题
高可用服务器上开启了 iptables防火墙 阻挡了心跳消息传输
keepalived VRID 不一致,优先级一致
4、如何解决keepalived脑裂问题?
在实际生产环境中,我们从以下方面防止脑裂:
①增加一条心跳线路(增加网卡),这样一条线路断了,另外一条还是好的,依然能传送心跳消息
②通过检测端地址,比如 ping后端的tomvcat的ip,能ping通,说明服务器是好的,就用这台服务器做Master
③通过脚本探测
