一.高可用集群
1.集群类型
LB:Load Balance 负载均衡
LVS/HAProxy/nginx(http/upstream, stream/upstream)
HA:High Availability 高可用集群
数据库、Redis
SPoF: Single Point of Failure,解决单点故障
HPC:High Performance Computing 高性能集群
2.系统可用性
SLA:Service-Level Agreement 服务等级协议(提供服务的企业与客户之间就服务的品质、水准、性能
等方面所达成的双方共同认可的协议或契约)
A = MTBF / (MTBF+MTTR)
3.系统故障
硬件故障:设计缺陷、wear out(损耗)、非人为不可抗拒因素
软件故障:设计缺陷 bug
4.实现高可用
提升系统高用性的解决方案:降低MTTR- Mean Time To Repair(平均故障时间)
解决方案:建立冗余机制
active/passive 主/备
active/active 双主
active --> HEARTBEAT --> passive
active <--> HEARTBEAT <--> active
5.VRRP:Virtual Router Redundancy Protocol
虚拟路由冗余协议,解决静态网关单点风险
物理层:路由器、三层交换机
软件层:keepalived
实验结构图
本次我们用到了两台负载均衡机,为了更好的实现高可用,使得服务在使用中对于故障或升级更加无感知,大家在实验的时候要记得确保自己的网络情况正常稳定哦
二.Keepalived 部署
1.keepalived 简介
vrrp 协议的软件实现,原生设计目的为了高可用 ipvs服务
功能:
基于vrrp协议完成地址流动
为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)
为ipvs集群的各RS做健康状态检测
基于脚本调用接口完成脚本中定义的功能,进而影响集群事务,以此支持nginx、haproxy等服务
2.Keepalived 架构
用户空间核心组件:
vrrp stack:VIP消息通告
checkers:监测real server
system call:实现 vrrp 协议状态转换时调用脚本的功能
SMTP:邮件组件
IPVS wrapper:生成IPVS规则
Netlink Reflector:网络接口
WatchDog:监控进程
控制组件:提供keepalived.conf 的解析器,完成Keepalived配置
IO复用器:针对网络目的而优化的自己的线程抽象
内存管理组件:为某些通用的内存管理功能(例如分配,重新分配,发布等)提供访问权限
3.Keepalived 环境准备
各节点时间必须同步:ntp, chrony
关闭防火墙及SELinux
各节点之间可通过主机名互相通信:非必须
建议使用/etc/hosts文件实现:非必须
各节点之间的root用户可以基于密钥认证的ssh服务完成互相通信:非必须
4.Keepalived 相关文件
软件包名:keepalived
主程序文件:/usr/sbin/keepalived
主配置文件:/etc/keepalived/keepalived.conf
配置文件示例:/usr/share/doc/keepalived/
Unit File:/lib/systemd/system/keepalived.service
Unit File的环境配置文件:/etc/sysconfig/keepalived
yum search keepalived
yum install keepalived.x86_64 -y
systemctl start keepalived
ps axf | grep keepalived
2385 pts/0 S+ 0:00 \_ grep --color=auto keepalived
2326 ? Ss 0:00 /usr/sbin/keepalived -D
2327 ? S 0:00 \_ /usr/sbin/keepalived -D在下载完安装包以后,就到了喜闻乐见的写配置时间
vim /etc/keepalived/keepalived.conf配置文件组成
GLOBAL CONFIGURATION
Global definitions: 定义邮件配置,route_id,vrrp配置,多播地址等
VRRP CONFIGURATION
VRRP instance(s):
定义每个vrrp虚拟路由器
LVS CONFIGURATION
Virtual server group(s)
Virtual server(s):
LVS集群的VS和RS
记得要把邮箱换成自己的哦,不然到时候我们做邮箱实验的时候你肯定要问为什么收不到邮件了.
global_defs {
notification_email {
114514@1919.com
}
notification_email_from keepalived@KA1.snow.org
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id KA1.snow.org
vrrp_skip_check_adv_addr
vrrp_strict
vrrp_garp_interval 0
vrrp_gna_interval 0
vrrp_mcast_group4 224.0.0.18
}
vrrp_instance VI_1 {
state MASTER
interface ens33
virtual_router_id 100
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
172.25.254.100/24 dev ens33 label ens33:1
}
}
欧克这一个我们就暂时配好了,那么下一个,怎么配,一个一个往过写吗,scp命令就好了
scp /etc/keepalived/keepalived.conf root@172.25.254.20:/etc/keepalived/keepalived.conf
这是ka2的设置,我们只需要把他改为备机就好
此时如果我们使用ifconfig,会发现ka1是有一个172.25.254.100的ip的,但是ka2是没有的,这就是高可用的原理,在运行时,ip会分配到优先度高的主机上,只有在主机挂掉以后,才会出现在备机上
我们再做一个测试
tcpdump -i ens33 -nn host 224.0.0.18
此时是ka1访问的,我们用ka2再执行命令,并且关闭ka1的keepalived服务
可以看到在关闭后只剩下ka2去访问了,并且我们使用ifconfig查看ka2的ip
出现了一个172.25.254.100
此时的ka1已经没有这个ip了,也就是说我们的ka2摇身一变,变成了master主机
启用keepalived日志功能
vim /etc/sysconfig/keepalived我们需要改一处内容
接着我们再去log日志配置里修改配置
vim /etc/rsyslog.conf
修改完以后保存退出,重启rsyslog服务,并且重启keepalived
[root@ka2 ~]# systemctl restart rsyslog.service
[root@ka2 ~]# systemctl restart keepalived.service
[root@ka2 ~]# cat /var/log/keepalived.log 
日志成功的存在设定的文件里了
实现独立子配置文件
当生产环境复杂时, /etc/keepalived/keepalived.conf 文件中内容过多,不易管理
将不同集群的配置,比如:不同集群的VIP配置放在独立的子配置文件中利用include 指令可以实现包含 子配置文件
我们先进入keepalived的配置文件
我们加上这句话,并且把先开始写的vrrp给先复制后注释掉
include /etc/keepalived/conf.d/*.conf
接着我们去创建一个文件夹和文件
[root@ka1 ~]# mkdir /etc/keepalived/conf.d/
[root@ka1 ~]# vim /etc/keepalived/conf.d/172.25.254.100.conf
把刚刚复制的内容贴进去
保存并退出以后,重启keepalived服务,再用ifconfig命令来查看当前的ip
172.25.254.100还在,说明配置生效了.子配置就成功了
大家可以把vrrp_strict关掉了,在前面加一个#就可以注释掉,因为添加此选项无法访问vip
三.Keepalived 企业应用示例
1 实现master/slave的 Keepalived 单主架构
刚才做的那些其实就是单主架构,这里不再细讲了
2 抢占模式和非抢占模式
非抢占模式
默认为抢占模式preempt,即当高优先级的主机恢复在线后,会抢占低先级的主机的master角色,
这样会使vip在KA主机中来回漂移,造成网络抖动,
建议设置为非抢占模式 nopreempt ,即高优先级主机恢复后,并不会抢占低优先级主机的master角色
非抢占模块下,如果原主机down机, VIP迁移至的新主机, 后续也发生down时,仍会将VIP迁移回原主机
注意:要关闭 VIP抢占,必须将各 keepalived 服务器state配置为BACKUP ,每一台主机都是BACKUP哦
开启完以后,我们先重启ka2的服务,并且使用watch ifconfig来查看ip
这时候我们看到ka2是没有172.25.254.100的
重启ka1的keepalived服务,观察ka2会增加172.25.254.100,并且在ka1服务重新启动后,ka1不会把ip获取回去
抢占延迟模式 preempt_delay
默认为抢占模式preempt,即当高优先级的主机恢复在线后,会抢占低先级的主机的master角色,
这样会使vip在KA主机中来回漂移,造成网络抖动,
建议设置为非抢占模式 nopreempt ,即高优先级主机恢复后,并不会抢占低优先级主机的master角色
非抢占模块下,如果原主机down机, VIP迁移至的新主机, 后续也发生down时,仍会将VIP迁移回原主机
注意:要关闭 VIP抢占,必须将各 keepalived 服务器state配置为BACKUP
观察中我们会发现,在ka1重启服务时,ka2会先抢走vip,在重启10秒过后,ka1重新抢走vip
3.VIP单播配置
默认keepalived主机之间利用多播相互通告消息,会造成网络拥塞,可以替换成单播,减少网络流量
注意:启用 vrrp_strict 时,不能启用单播
还是进配置文件
global_defs {
notification_email {
114514@1919.com
}
notification_email_from keepalived@KA1.snow.org
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id KA1.snow.org
vrrp_skip_check_adv_addr
#vrrp_strict
vrrp_garp_interval 0
vrrp_gna_interval 0
#vrrp_mcast_group4 224.0.0.18
vrrp_ipsets keepalived
}
#include /etc/keepalived/conf.d/*.conf
vrrp_instance VI_1 {
state MASTER
interface ens33
virtual_router_id 100
priority 100
#preempt_delay 10s #抢占延迟模式
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
172.25.254.100/24 dev ens33 label ens33:1
}
unicast_src_ip 172.25.254.10 #本机ip
unicast_peer {
172.25.254.20 #对方ip
}
}
保存并退出即可
4 Keepalived 通知脚本配置
当keepalived的状态变化时,可以自动触发脚本的执行,比如:发邮件通知用户
默认以用户keepalived_script身份执行脚本
如果此用户不存在,以root执行脚本可以用下面指令指定脚本执行用户的身份
1.通知脚本类型
当前节点成为主节点时触发的脚本
notify_master <STRING>|<QUOTED-STRING>
当前节点转为备节点时触发的脚本
notify_backup <STRING>|<QUOTED-STRING>
当前节点转为“失败”状态时触发的脚本
notify_fault <STRING>|<QUOTED-STRING>
通用格式的通知触发机制,一个脚本可完成以上三种状态的转换时的通知
notify <STRING>|<QUOTED-STRING>
当停止VRRP时触发的脚本
notify_stop <STRING>|<QUOTED-STRING>
2 脚本的调用方法
在 vrrp_instance VI_1 语句块的末尾加下面行
notify_master "/etc/keepalived/notify.sh master"
notify_backup "/etc/keepalived/notify.sh backup"
notify_fault "/etc/keepalived/notify.sh fault"
创造通知脚本
[root@KA1 ~]# vim /etc/keepalived/mail.sh
#!/bin/bash
mail_dest='114514@1919.com'
mail_send()
{
mail_subj="$HOSTNAME to be $1 vip 转移"
mail_mess="`date +%F\ %T`: vrrp 转移, $HOSTNAME 变为 $1"
echo "$mail_mess" | mail -s "$mail_subj" $mail_dest
}
case $1 in
master)
mail_send master
;;
backup)
mail_send backup
;;
fault)
mail_send fault
;;
*)
exit 1
;;
esac配置完以后,我们下载邮箱通知工具
yum install mailx -y[root@KA1 ~]# vim /etc/mail.rc
#######mail set##########
set from=114514@1919.com
set smtp=smtp.qq.com
set smtp-auth-user=114514@1919.com
set smtp-auth-password=1145141919810
set smtp-auth=login
set ssl-verify=ignore这里是邮箱配置
注意,这个工具需要你打开QQ邮箱的pop3功能,具体怎么操作可以上百度搜一下,很简单,set smtp-auth-password是你的pop3授权码,记得改过来哦
实现 Keepalived 状态切换的通知脚本
刚刚的/etc/keepalived/mail.sh文件是不变的
然后我们给这个文件加上权限
chmod +x /etc/keepalived/mail.sh然后keepalived配置需要加上三行命令
vrrp_instance VI_1 {
state MASTER
interface ens33
virtual_router_id 100
priority 100
#preempt_delay 10s #抢占延迟模式
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
172.25.254.100/24 dev ens33 label ens33:1
}
unicast_src_ip 172.25.254.10 #本机ip
unicast_peer {
172.25.254.20 #对方ip
}
notify_master "/etc/keepalived/mail.sh master"
notify_backup "/etc/keepalived/mail.sh backup"
notify_fault "/etc/keepalived/mail.sh fault"
}
并且要改global处的邮箱和vrrp_mcast_group4
保存退出,然后我们模拟master故障,关掉keepalived进程
killall keepalived
systemctl start keepalived
5 实现 master/master 的 Keepalived 双主架构
master/slave的单主架构,同一时间只有一个Keepalived对外提供服务,此主机繁忙,而另一台主机却
很空闲,利用率低下,可以使用master/master的双主架构,解决此问题。
master/master 的双主架构:
即将两个或以上VIP分别运行在不同的keepalived服务器,以实现服务器并行提供web访问的目的,提高
服务器资源利用率
这个其实很简单,说白了其实就是在ka1和ka2上分别写两个vrrp策略,都为一个master一个backup即可
vrrp_instance VI_1 {
state MASTER
interface ens33
virtual_router_id 100
priority 150
#preempt_delay 10s #抢占延迟模式
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
172.25.254.100/24 dev ens33 label ens33:1
}
}
vrrp_instance VI_2 {
state BACKUP
interface ens33
virtual_router_id 200
priority 80
#preempt_delay 10s #抢占延迟模式
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
172.25.254.200/24 dev ens33 label ens33:2
需要改的地方有策略名称,主从状态,优先级,vip,网卡序号,vrid.大家要注意,vrrp_instance VI_1是不删除的,两个策略共存才能实现双主
保存好后重启服务,可以看到此时ka1和ka2各自有一个vip
6 实现IPVS的高可用性
1 IPVS相关配置
虚拟服务器配置结构
virtual_server IP port {
...
real_server {
...
}
real_server {
...
}
…
}
virtual server (虚拟服务器)的定义格式
virtual_server IP port #定义虚拟主机IP地址及其端口
virtual_server fwmark int #ipvs的防火墙打标,实现基于防火墙的负载均衡集群
virtual_server group string #使用虚拟服务器组
虚拟服务器配置
virtual_server IP port { #VIP和PORT
delay_loop <INT> #检查后端服务器的时间间隔
lb_algo rr|wrr|lc|wlc|lblc|sh|dh #定义调度方法
lb_kind NAT|DR|TUN #集群的类型,注意要大写
persistence_timeout <INT> #持久连接时长
protocol TCP|UDP|SCTP #指定服务协议,一般为TCP
sorry_server <IPADDR> <PORT> #所有RS故障时,备用服务器地址
real_server <IPADDR> <PORT> { #RS的IP和PORT
weight <INT> #RS权重
notify_up <STRING>|<QUOTED-STRING> #RS上线通知脚本
notify_down <STRING>|<QUOTED-STRING> #RS下线通知脚本
HTTP_GET|SSL_GET|TCP_CHECK|SMTP_CHECK|MISC_CHECK { ... } #定义当前主机健康状
态检测方法
}
}
应用层监测
应用层检测:HTTP_GET|SSL_GET
HTTP_GET|SSL_GET {
url {
path <URL_PATH> #定义要监控的URL
status_code <INT> #判断上述检测机制为健康状态的响应码,一般为 200
}
connect_timeout <INTEGER> #客户端请求的超时时长, 相当于haproxy的timeout server
nb_get_retry <INT> #重试次数
delay_before_retry <INT> #重试之前的延迟时长
connect_ip <IP ADDRESS> #向当前RS哪个IP地址发起健康状态检测请求
connect_port <PORT> #向当前RS的哪个PORT发起健康状态检测请求
bindto <IP ADDRESS> #向当前RS发出健康状态检测请求时使用的源地址
bind_port <PORT> #向当前RS发出健康状态检测请求时使用的源端口
}
TCP监测
传输层检测:TCP_CHECK
TCP_CHECK {
connect_ip <IP ADDRESS> #向当前RS的哪个IP地址发起健康状态检测请求
connect_port <PORT> #向当前RS的哪个PORT发起健康状态检测请求
bindto <IP ADDRESS> #发出健康状态检测请求时使用的源地址
bind_port <PORT> #发出健康状态检测请求时使用的源端口
connect_timeout <INTEGER> #客户端请求的超时时长
#等于haproxy的timeout server
}
2 实战案例
实现单主的 LVS-DR 模式
此时我们需要使用两台realserver了,我们先在上面下载httpd服务(rhel7.9本地源居然没有nginx的吗?!?)
然后给index.html写入一些内容
[root@rs1 ~]# yum install httpd
[root@rs1 ~]# echo rs1 172.25.254.110 > /var/www/html/index.html
[root@rs2 ~]# yum install httpd
[root@rs2 ~]# echo rs2 172.25.254.120 > /var/www/html/index.html还记得lvs的dr模式吗,我们要给四个文件改参数
[root@rs1 ~]# echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore
[root@rs1 ~]# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
[root@rs1 ~]# echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce
[root@rs1 ~]# echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce
最后再给两台真实服务器配上vip就好啦
ip a a 172.25.254.100/32 dev lo
sysctl --system进ka1配置文件,在下面写
virtual_server 172.25.254.100 80 {
delay_loop 6
lb_algo wrr #调度算法为加权轮询
lb_kind DR #lvs为dr模式
protocol TCP #TCP协议
real_server 172.25.254.110 80 {
weight 1
HTTP_GET {
url {
path /
status_code 200
}
connect_timeout 3 #连接3秒不成功为超时
nb_get_retry 2 #失败后尝试两次
delay_before_retry 2 #两秒连接一次
}
}
real_server 172.25.254.120 80 {
weight 1
HTTP_GET {
url {
path /
status_code 200
}
connect_timeout 3
nb_get_retry 2
delay_before_retry 2
}
}
}
完成配置以后,我们可以下载一个ipvsadm
yum install ipvsadm -y
systemctl start ipvsadm
ipvsadm -Ln #查看keepalived的策略有没有挂上
挂上以后就可以用其他机器来curl一下vip了,由于是加权轮询并且权重相同,所以这里是一个轮着一个访问的
模拟故障
我们先在客户机上curlvip,并在ka1上停止keepalived服务,发现访问会稍微卡一下,然后正常运行,这时已经是ka2在进行调度了
7 实现其它应用的高可用性 VRRP Script
keepalived利用 VRRP Script 技术,可以调用外部的辅助脚本进行资源监控,并根据监控的结果实现优先
动态调整,从而实现其它应用的高可用性功能
参考配置文件:/usr/share/doc/keepalived/keepalived.conf.vrrp.localcheck
1 VRRP Script 配置
分两步实现:
定义脚本
vrrp_script:自定义资源监控脚本,vrrp实例根据脚本返回值,公共定义,可被多个实例调用,定
义在vrrp实例之外的独立配置块,一般放在global_defs设置块之后。
通常此脚本用于监控指定应用的状态。一旦发现应用的状态异常,则触发对MASTER节点的权重减至
低于SLAVE节点,从而实现 VIP 切换到 SLAVE 节点
vrrp_script <SCRIPT_NAME> {
script <STRING>|<QUOTED-STRING> #此脚本返回值为非0时,会触发下面OPTIONS执行
OPTIONS
}
调用脚本
track_script:调用vrrp_script定义的脚本去监控资源,定义在VRRP实例之内,调用事先定义的
vrrp_script
track_script {
SCRIPT_NAME_1
SCRIPT_NAME_2
}定义 VRRP script
vrrp_script <SCRIPT_NAME> { #定义一个检测脚本,在global_defs 之外配置
script <STRING>|<QUOTED-STRING> #shell命令或脚本路径
interval <INTEGER> #间隔时间,单位为秒,默认1秒
timeout <INTEGER> #超时时间
weight <INTEGER:-254..254> #默认为0,如果设置此值为负数,
#当上面脚本返回值为非0时
#会将此值与本节点权重相加可以降低本节点权重,
#即表示fall.
#如果是正数,当脚本返回值为0,
#会将此值与本节点权重相加可以提高本节点权重
#即表示 rise.通常使用负值
fall <INTEGER> #执行脚本连续几次都失败,则转换为失败,建议设为2以上
rise <INTEGER> #执行脚本连续几次都成功,把服务器从失败标记为成功
user USERNAME [GROUPNAME] #执行监测脚本的用户或组
init_fail #设置默认标记为失败状态,监测成功之后再转换为成功状态
}调用 VRRP script
vrrp_instance test {
... ...
track_script {
check_down
}
}实战案例:利用脚本实现主从角色切换
我们先写一个脚本出来
[root@ka1 ~]# vim /etc/keepalived/test.sh
[root@ka1 ~]# cat /etc/keepalived/test.sh
#!/bin/bash
[ ! -f "/mnt/snow" ]
[root@ka1 ~]# chmod +x /etc/keepalived/test.sh
这是keepalived的配置
vrrp_script check_snow {
scrpit "/mnt/check_snow.sh"
interval 1
weight -30
fall 2
rise 2
timeout 2
}
vrrp_instance web {
state MASTER
interface ens33
virtual_router_id 50
priority 100
#preempt_delay 10s #抢占延迟模式
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
172.25.254.100/24 dev ens33 label ens33:0
}
track_script {
check_snow
}
}
做完之后运行
touch /mnt/snow
tail -f /var/log/messages
会发现ka1在一直疯狂的刷日志,权重下降了30,所以此时应该是ka2为master
于是我们在ka2看一下ip,果然172.25.254.100在ka2这边
实战案例:实现HAProxy高可用
在两个ka1和ka2先实现haproxy的配置
vim /etc/haproxy/haproxy.cfg
listen webserver
bind 172.25.254.100:80
server web1 172.25.254.101:80 check
server web2 172.25.254.102:80 check
在两个ka1和ka2两个节点启用内核参数
vim /etc/sysctl.conf
net.ipv4.ip_nonlocal_bind = 1
sysctl -p进入haproxy的配置文件写一个策略
vim /etc/haproxy/haproxy.cfg
然后我们要把刚才写的lvs策略给注释掉,不然会导致无法访问,ka1和ka2都要
并且要把之前在realserver上配的文件改回来
[root@rs1 ~]# echo 0 > /proc/sys/net/ipv4/conf/lo/arp_ignore
[root@rs1 ~]# echo 0 > /proc/sys/net/ipv4/conf/all/arp_ignore
[root@rs1 ~]# echo 0 > /proc/sys/net/ipv4/conf/lo/arp_announce
[root@rs1 ~]# echo 0 > /proc/sys/net/ipv4/conf/all/arp_announce
sysctl --system
systemctl restart network
至于keepalived上的配置,我们从刚才的改一下就好啦
我把主机的配置放在这里,相信大家肯定也会配从机了
ifconfig瞅一眼,vip就静静的呆在ka1的网卡里面
接下来见证奇迹,用客户机一直curl我们的vip,并在此过程中关闭ka1的haproxy服务
客户机先是失去服务一小会,接着重新正常访问,可以看到此时vip已经转移到了ka2上面.试验成功
谢谢你阅读至此,如果觉得内容还不错,麻烦给俺个点赞和收藏吧!
667
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
