Keepalived工作原理:
keepalived 顾名思义保持在线,一般在的高可用或者是热备中用到。来防止单点故障 。 (单点故障: 指一个节点发现故障导致整个集群或者架构收到影响不可用) 主要用于检查服务器状态, 如果有一台server 故障了,这台server 会备keepalived 自动剔除,会选举一个新的server 来代替故障server 来维持服务可用性,当故障server 被修复会被keepalived 检查到纳管到集群中。 除了修复故障server 需要人为干预其他的都keepalived 自己解决。
keepalived 是有三个模块:
1. core : 负责主进程的启动维护,和全局配置文件的加载解析
2. check: 负责健康检查
3. vrrp: 实现vrrp 协议的
keepalived 主要是以VRRP 协议为基础实现的。
VRRP (虚拟路由冗余协议)
容错的主备模式的协议,由多台提供统一服务或者功能的路由器组成一个集群,里面是有一个主的路由器,其他的为备的路由器。主路由器上有一个vip 对外提供访问的,vip 在主的路由器上时会一直发组播,当主路由器挂掉了,备路由器收不到主路由器发过来的vrrp 报文,他们会认为主故障,备的路由器们会选举出一个路由器来充当主路由器的代替工作。 (这里比较容易出现脑裂问题,主节点没有挂掉,但是没有发出vrrp 报文, 主节点认为自己是主,备节点认为主节点挂掉了,会在选举一个主节点, 这时候有两个主节点存在,这就是所谓的脑裂。)
Keepalived主备配置:
Keepalived的安装:直接使用yum安装
Keepalived的主配置文件:
利用自带的监控和规则完成健康检查:
! Configuration File for keepalived
global_defs {
notification_email {
acassen@firewall.loc
failover@firewall.loc
sysadmin@firewall.loc
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 192.168.200.1
smtp_connect_timeout 30
router_id LVS_DEVEL
vrrp_skip_check_adv_addr
! vrrp_strict #:注释掉
vrrp_garp_interval 0
vrrp_gna_interval 0
}vrrp_instance VI_1 {
state MASTER #:keepalived的角色
interface ens33 #: 绑定的网卡
virtual_router_id 51 #:编号
priority 100 #:优先级
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.206.121 #:vip
}
}virtual_server 192.168.206.121 80 { #对虚拟服务的制定规则
delay_loop 6
lb_algo rr
lb_kind DR
protocol TCP
real_server 192.168.206.144 80 { #:检测一台真实的服务器
weight 1
TCP_CHECK {
connect_port 80
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
}
}
real_server 192.168.206.145 80 { #:检测一台真实服务器
weight 1
TCP_CHECK {
connect_port 80
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
}
}
}
利用脚本完成健康检查:
! Configuration File for keepalived
global_defs {
notification_email {
acassen@firewall.loc
failover@firewall.loc
sysadmin@firewall.loc
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 192.168.200.1
smtp_connect_timeout 30
router_id LVS_DEVEL
vrrp_skip_check_adv_addr
! vrrp_strict
vrrp_garp_interval 0
vrrp_gna_interval 0
}
vrrp_script check_redis.sh { #:定义vrrp的协议
script “/etc/keepalived/shell/check_redis.sh” #:脚本位置
interval 1 #:一秒执行一次
}
vrrp_instance VI_1 {
state MASTER
interface ens33
virtual_router_id 52
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.206.122
}
track_script { #:执行脚本 脚本为上面的名字
check_redis.sh
}
}
健康检查的脚本:
#!/bin/bash
netstat -nlpt | grep 6379
if [ $? -ne 0 ];then
pkill keepalived
fi
Keeapalived的备配置文件:
备配置文件同上只是把MASTER改为BACKUP
把优先级进行调整,备服务器的优先级要低于master的优先级
Keepalived脑裂及预防:
一. keepalived脑裂
在高可用(HA)系统中,当联系2个节点的“心跳线”断开时,本来为一整体、动作协调的HA系统,就分裂成为2个独立的个体。由于相互失去了联系,都以为是对方出了故障。两个节点上的HA软件像“裂脑人”一样,争抢“共享资源”、争起“应用服务”,就会发生严重后果——或者共享资源被瓜分、2边“服务”都起不来了;或者2边“服务”都起来了,但同时读写“共享存储”,导致数据损坏(常见如数据库轮询着的联机日志出错)。
类似于elasticsearch的脑裂
二.脑裂的原因
1:高可用服务器对之间心跳线链路发生故障,导致无法正常通信。如心跳线坏了(包括断了,老化)。
2:因网卡及相关驱动坏了,ip配置及冲突问题(网卡直连)。
3:因心跳线间连接的设备故障(网卡及交换机)。
4:因仲裁的机器出问题(采用仲裁的方案)。
5:高可用服务器上开启了 iptables防火墙阻挡了心跳消息传输。
6:Keepalived配置里同一 VRRP实例如果 virtual_router_id两端参数配置不一致也会导致裂脑问题发生。
7:vrrp实例名字不一致、优先级一致
三. 应对策略
1:添加冗余的心跳线,例如:双线条线(心跳线也HA),尽量减少“裂脑”发生几率
2:启用磁盘锁。正在服务一方锁住共享磁盘,“裂脑”发生时,让对方完全“抢不走”共享磁盘资源。但使用锁磁盘也会有一个不小的问题,如果占用共享盘的一方不主动“解锁”,另一方就永远得不到共享磁盘。现实中假如服务节点突然死机或崩溃,就不可能执行解锁命令。后备节点也就接管不了共享资源和应用服务。于是有人在HA中设计了“智能”锁。即:正在服务的一方只在发现心跳线全部断开(察觉不到对端)时才启用磁盘锁。平时就不上锁了。
3:设置仲裁机制。例如设置参考IP(如网关IP),当心跳线完全断开时,2个节点都各自ping一下参考IP,不通则表明断点就出在本端。不仅“心跳”、还兼对外“服务”的本端网络链路断了,即使启动(或继续)应用服务也没有用了,那就主动放弃竞争,让能够ping通参考IP的一端去起服务。更保险一些,ping不通参考IP的一方干脆就自我重启,以彻底释放有可能还占用着的那些共享资源。
4:利用脚本检测、报警
[root@lb02 scripts]# vim check_keepalived.sh
#!/bin/bash
while true
do
if [ ip a show eth0 |grep 10.0.0.3|wc -l -ne 0 ]
then echo “keepalived is error!”
else echo “keepalived is OK !”
fi
done