keepalived简介
lvs在我之前的博客《高负载集群实战之lvs负载均衡-技术流ken》中已经进行了详细的介绍和应用,在这里就不再赘述。这篇博文将把lvs与keepalived相结合使用,在实际工作中搭建高可用,高负载,高性能的服务器集群。
“Keepalived的作用是检测服务器的状态,如果有一台web服务器宕机,或工作出现故障,Keepalived将检测到,并将有故障的服务器从系统中剔除,同时使用其他服务器代替该服务器的工作,当服务器工作正常后Keepalived自动将服务器加入到服务器群中,这些工作全部自动完成,不需要人工干涉,需要人工做的只是修复故障的服务器。”
keepalived的主要功能
1. healthcheck
检查后端节点是否正常工作
如果发现后端节点异常,就将该异常节点从调度规则中删除;
如果发现后端的异常节点恢复正常了,就将该节点重新加入到调度规则中;
2. failover
是对调度器的主节点做健康检测。
将备用节点升级为主节点
接管主节点上的资源(vip、lvs规则)
keepalived实现故障切换的原理
1.keepalived是基于vrrp写于实现的故障切换
2.正常情况下,主节点会每隔一段时间向备节点发送一个心跳信息,这个就是告诉备节点自己正常
当主节点发生故障,那么备节点无法接收都心跳信息,就认定主节点故障,那么就会接收主节点的业务和资源(包括vip)
当主节点又恢复的时候,那么备节点释放所接收到资源和业务
简单说说vrrp协议
1. VRRP((Virtual Router Redundancy Protocol),虚拟路由冗余协议,为了解决静态路由的单点故障问题
2. VRRP的工作机制是基于竞选机制选择一个路由来完成任务处理
3. VRRP协议是通过发送多播数据包实现竞选的(Multicat)
4. 竞选出来主节点会一直发送广播包,backup节点一直监听这些广播包(处于监听状态)
5. 当备用节点无法接收到广播包的是时候,就会重新进行竞选,选出一个新的节点作为主节点
keepalived可以完成如下工作
1. 自动生成vip(vip给用户提供服务)
2. 自动配置lvs规则
3. 可以实现各种服务的高可用
4. failover的时候,做vip的漂移
keepalived的配置文件
第一段:global_defs,全局配置段 global_defs { notification_email { 237745635@qq.com } notification_email_from Alexandre.Cassen@firewall.loc smtp_server 192.168.200.1 smtp_connect_timeout 30 router_id id1 <<< 当前主机的ID值,这个值必须是唯一的 } 第二段:vrrp_instance,实例配置段(虚拟服务段) 【该段是定义虚拟服务的vip等信息】 vrrp_instance VI_1 { <<< 指定实例的名称 state MASTER <<< 指定节点的状态,MASTER表示主,BACKUP表示备用节点 interface eth0 <<< 指定将VIP绑定在哪个网卡上 virtual_router_id 51 <<< 虚拟路由ID,用于标识哪些个节点是一组,同一组的主机的虚拟id需要相同 priority 100 <<< 指定该节点的优先级(主这节点的优先级大于备节点) advert_int 1 <<< 指定备节点在几秒之内没有接收到主节点的心跳信息,就接管其业务和资源 authentication { <<< 指定keepalived集群中各个主备节点做认证的方式 auth_type PASS auth_pass 1111 } virtual_ipaddress { <<< 指定用于提供服务的ip地址(也就是VIP) 10.220.5.233 } } 第三段:virtual_server,虚拟主机配置段 【该段主要是给lvs来用,用来定义后端RS节点】 virtual_server 10.220.5.222 80 { #指定实例对应的VIP delay_loop 6 # 对后端节点做健康检查的时间间隔 lb_algo rr # 指定负载均衡调度算法 lb_kind DR # 指定所使用的lvs模型 nat_mask 255.255.255.0 persistence_timeout 50 # 同一IP的请求50秒内被分配到同一台真实主机 protocol TCP # 用TCP协议对真实节点做健康检查 real_server 10.220.5.190 80 { # 指定一台真实服务器的IP和端口 weight 1 # 设置权重 TCP_CHECK { # 用建立tcp连接的方式做健康检测 connect_timeout 10 # 设置建立tcp连接的超时时间 delay_before_retry 3 # 超时后多久重试 nb_get_retry 3 # 重试次数 connect_port 80 # 健康检查使用的端口号 } } real_server 10.220.5.191 80 { weight 1 TCP_CHECK { connect_timeout 10 nb_get_retry 3 delay_before_retry 3 connect_port 80 } } }
修改配置文件需要注意的问题
1. 实例可以有一个,也可以有多个
2. 单实例中必须相同的配置
vrrp_instance VI_1
virtual_router_id 51
auth_type PASS
auth_pass 1111
virtual_ipaddress
3. 单实例中必须不相同的配置
router_id id1
state MASTER
priority 100
指定日志保存方式和位置
1. 修改keepalived的配置 [root@ken ~]# cat /etc/sysconfig/keepalived # Options for keepalived. See `keepalived --help' output and keepalived(8) and # keepalived.conf(5) man pages for a list of all options. Here are the most # common ones : # # --vrrp -P Only run with VRRP subsystem. # --check -C Only run with Health-checker subsystem. # --dont-release-vrrp -V Dont remove VRRP VIPs & VROUTEs on daemon stop. # --dont-release-ipvs -I Dont remove IPVS topology on daemon stop. # --dump-conf -d Dump the configuration data. # --log-detail -D Detailed log messages. # --log-facility -S 0-7 Set local syslog facility (default=LOG_DAEMON) # KEEPALIVED_OPTIONS="-D -d -S 0" #KEEPALIVED_OPTIONS="-D" 2. 修改系统日志配置文件 [root@ken ~]# echo "local0.* /var/log/ka.log" >>/etc/rsyslog.conf 3. 重启服务 [root@ken ~]# systemctl restart rsyslog [root@ken ~]# systemctl restart keepalived 日志 级别:指定触发日志的事件的重要等级 日志设施:指定将日志记录在什么位置
keepalived对RS做健康检查的方式
1. HTTP_GET:向后端的RS发送http请求,如果请求成功,说明后端节点正常(RS是web服务的时候比较常用) 2. TCP:尝试与后端RS建立TCP连接,如果成功,说明后端节点正常 【仅仅是检查RS系统是否正常工作,不能检查具体的业务】 3. SMTP:对邮件服务器做健康检测 4. MISC:通过脚本的方式实现健康检测 TCP健康检测方式举例 TCP_CHECK { # 通过TcpCheck判断RealServer的健康状态 connect_timeout 10 # 连接超时时间 nb_get_retry 3 # 重连次数 delay_before_retry 3 # 重连时间间隔 connect_port 80 # 检测端口 } HTTP_GET健康检测方式举例 HTTP_GET { url { path check/t.html # 检查的uri地址 digest 1362a91278f0 # 用keepalived自带的genhash生成,genhash -s 192.168.64.8 -p 80 -u http://192.168.64.8/index.html connect_timeout 3 # 链接超时时间 nb_get_retry 3 # 重连次数 delay_before_retry 3 # 重连时间间隔 connect_port 6500 # 检测端口 } MISC健康检测方式举例 MISC_CHECK { misc_path "/tmp/check.sh http://1.2.3.4:80/c/200.jsp" # 调用外部程序或者脚本的路径和参数 misc_timeout 10 # 脚本执行的超时时间 misc_dynamic # 动态权重标志。 # 脚本返回0 则检测成功,权重不变 # 返回1表示失败,权重设置为0 }
keepalsived+lvs服务器集群实战
1.环境准备
centos7.5
VIP:172.20.10.11/28
客户端IP:172.20.10.3/28
KEEPALIVED+LVS1服务器端IP:172.20.10.2/28
KEEPALIVED+LVS2服务器端IP:172.20.10.5/28
WEB1服务器端IP:172.20.10.8/28
WEB2服务器端IP:172.20.10.9/28
2.关闭安全服务
[root@ken ~]# setenforce 0 [root@ken ~]# systemctl stop firewalld [root@ken ~]# iptables -F
3.配置KEEPALIVED+LVS1服务器端
相当的服务器配置需要保持相同。接下来的配置你需要配置两遍,即在每个服务端都需要配置一遍。
安装ipvsadm
[root@ken ~]# yum install ipvsadm -y
安装keepalived
[root@ken ~]# yum install keepalived -y
配置主服务器端keepalived
! Configuration File for keepalived global_defs { notification_email { acassen@firewall.loc failover@firewall.loc sysadmin@firewall.loc } notification_email_from Alexandre.Cassen@firewall.loc smtp_server 192.168.200.1 smtp_connect_timeout 30 router_id id1 vrrp_skip_check_adv_addr vrrp_strict vrrp_garp_interval 0 vrrp_gna_interval 0 } vrrp_instance VI_1 { state MASTER interface eth0 virtual_router_id 51 priority 150 advert_int 1 authentication { auth_type PASS auth_pass 1111 } virtual_ipaddress { 172.20.10.11/28 } } virtual_server 172.20.10.11 80 { delay_loop 6 lb_algo rr lb_kind DR persistence_timeout 50 protocol TCP real_server 172.20.10.8 80 { weight 1 TCP_CHECK { connect_timeout 3 nb_get_retry 3 delay_before_retry 3 } } real_server 172.20.10.9 80 { weight 1 TCP_CHECK { connect_timeout 3 nb_get_retry 3 delay_before_retry 3 } } } 配置好之后可以把这个文件使用scp传输到另外一台服务器上面
[root@ken ~]# scp /etc/keepalived/keepalived.conf 172.20.10.5:/etc/keepalived/keepalived.conf root@172.20.10.5's password: keepalived.conf 100% 1116 669.7KB/s 00:00
配置从服务器端keepalived
! Configuration File for keepalived global_defs { notification_email { acassen@firewall.loc failover@firewall.loc sysadmin@firewall.loc } notification_email_from Alexandre.Cassen@firewall.loc smtp_server 192.168.200.1 smtp_connect_timeout 30 router_id id2 vrrp_skip_check_adv_addr vrrp_strict vrrp_garp_interval 0 vrrp_gna_interval 0 } vrrp_instance VI_1 { state BACKUP interface eth0 interface eth0 virtual_router_id 51 priority 100 advert_int 1 authentication { auth_type PASS auth_pass 1111 } virtual_ipaddress { 172.20.10.11/28 } } virtual_server 172.20.10.11 80 { delay_loop 6 lb_algo rr lb_kind DR persistence_timeout 50 protocol TCP real_server 172.20.10.8 80 { weight 1 TCP_CHECK { connect_timeout 3 nb_get_retry 3 delay_before_retry 3 } } real_server 172.20.10.9 80 { weight 1 TCP_CHECK { connect_timeout 3 nb_get_retry 3 delay_before_retry 3 } } } 4.重启keepalived
[root@ken ~]# systemctl restart keepalied
5.检查ipvsadm
[root@ken ~]# ipvsadm -L -n --stats IP Virtual Server version 1.2.1 (size=4096) Prot LocalAddress:Port Conns InPkts OutPkts InBytes OutBytes -> RemoteAddress:Port TCP 172.20.10.11:80 7 84 0 22131 0 -> 172.20.10.8:80 4 69 0 21009 0 -> 172.20.10.9:80 3 15 0 1122 0
6.检查VIP
检查主服务器端
[root@ken ~]# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000 link/ether 00:0c:29:2d:5b:b8 brd ff:ff:ff:ff:ff:ff inet 172.20.10.2/28 brd 172.20.10.15 scope global noprefixroute eth0 valid_lft forever preferred_lft forever inet 172.20.10.11/28 scope global secondary eth0 #VIP现在在主服务器端 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:fe2d:5bb8/64 scope link valid_lft forever preferred_lft forever
检查从服务器端
[root@ken ~]# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000 link/ether 00:0c:29:a5:e9:a4 brd ff:ff:ff:ff:ff:ff inet 172.20.10.5/28 brd 172.20.10.15 scope global noprefixroute eth0 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:fea5:e9a4/64 scope link valid_lft forever preferred_lft forever
6.配置web服务器端
1.下载apache
[root@ken ~]# yum install httpd -y
2.准备测试页面
[root@ken ~]# echo "this is 172.20.10.8 for test" >/var/www/html/index.html
3.启动apache
[root@ken ~]# systemctl restart httpd [root@ken ~]# ss -tnl |grep 80 LISTEN 0 128 :::80 :::*
4.绑定VIP
[root@ken ~]# ip a a 172.20.10.11/32 dev lo:0
5.arp抑制
| 1 2 3 4 | [root@ken ~]# echo "1">/proc/sys/net/ipv4/conf/lo/arp_ignore[root@ken ~]# echo "1">/proc/sys/net/ipv4/conf/all/arp_ignore[root@ken ~]# echo "2">/proc/sys/net/ipv4/conf/lo/arp_announce[root@ken ~]# echo "2">/proc/sys/net/ipv4/conf/all/arp_announce |
浏览器测试
确认每台服务器每项服务重启之后,再次关闭每台服务器
关闭keepalived服务器端的防火墙规则
[root@ken ~]# iptables -F
注意:
keepalived 在启动后如果参数配置不当,会在iptables中自动添加一条DROP VIP的规则。这里的一些参数可能会造成这个问题。
1、在配置中添加了strict 或 noaccept参数。
2、在全局配置下使用了vrrp_strict 参数。此参数为严格控制VRRP协议,不支持单播模式,注释掉此选项,将不会默认添加DROP规则。
输入VIP地址
测试成功!
进行刷新测试
测试成功!
关闭一台172.20.10.8web服务器进行测试
[root@ken ~]# systemctl stop httpd
查看ipvsadm规则
[root@ken ~]# ipvsadm -L -n IP Virtual Server version 1.2.1 (size=4096) Prot LocalAddress:Port Scheduler Flags -> RemoteAddress:Port Forward Weight ActiveConn InActConn TCP 172.20.10.11:80 rr -> 172.20.10.9:80 Route 1 0 0
已自动移除172.20.10.8服务器
测试成功!
关闭172.20.10.2 keepalived主服务器进行测试
[root@ken ~]# systemctl stop keepalived
查看keepalived主服务器端ipvsadm规则
[root@ken ~]# ipvsadm -L -n IP Virtual Server version 1.2.1 (size=4096) Prot LocalAddress:Port Scheduler Flags -> RemoteAddress:Port Forward Weight ActiveConn InActConn
查看keepalived主服务器端VIP
[root@ken ~]# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000 link/ether 00:0c:29:2d:5b:b8 brd ff:ff:ff:ff:ff:ff inet 172.20.10.2/28 brd 172.20.10.15 scope global noprefixroute eth0 valid_lft forever preferred_lft forever #已经没有VIP inet6 fe80::20c:29ff:fe2d:5bb8/64 scope link valid_lft forever preferred_lft forever
查看从服务器ipvsadm规则
[root@ken ~]# ipvsadm -L -n --stats IP Virtual Server version 1.2.1 (size=4096) Prot LocalAddress:Port Conns InPkts OutPkts InBytes OutBytes -> RemoteAddress:Port TCP 172.20.10.11:80 0 0 0 0 0 -> 172.20.10.9:80 0 0 0 0 0
从服务器端已经自动继承主服务器端ipvsadm规则
查看从服务器端是否有VIP
[root@ken ~]# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000 link/ether 00:0c:29:a5:e9:a4 brd ff:ff:ff:ff:ff:ff inet 172.20.10.5/28 brd 172.20.10.15 scope global noprefixroute eth0 valid_lft forever preferred_lft forever inet 172.20.10.11/28 scope global secondary eth0 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:fea5:e9a4/64 scope link valid_lft forever preferred_lft forever
VIP已经自动继承到从服务器端
测试完成!