15. Sentinel

Sentinel（哨兵）是Redis的高可用性的解决方案：由一个或多个Sentiel实例组成的Sentiel系统可以监视任意多个主服务器以及它们属下的从服务器，并在被监视的主服务器进入下线状态时，自动将下线主服务器属下的某个从服务器升级为新的主服务器，然后替代原来的主服务器处理请求。

 

1.启动并初始化Sentinel

启动一个Sentinel命令：

$ redis-sentinel /path/to/your/sentinel.conf

或者：

$ redis-server /path/to/your/sentinel.conf --sentinel

 

当启动一个Sentinel，它需要执行以下步骤：

1）初始化服务器

2）将普通Redis服务器使用的代码转化为Sentinel专用代码

3）初始化Sentinel状态

4）根据给定的配置文件，初始化Sentinel的监视主服务器列表

5）创建连向主服务器的网络连接

 

1.1 初始化服务器

首先，因为Sentinel本质上只是一个运行在特殊模式下的Redis服务器，所以启动Sentinel的第一步就是初始化一个普通的Redis服务器。

不过因为Sentinel执行的工作和普通Redis服务器执行的工作不同，所以Sentinel的初始化过程和普通Redis服务器的初始化过程并不完全相同。比如数据库和键值对方面的命令不使用、事务命令不使用、脚本命令不使用、RDB不使用、AOF不使用等等。

 

1.2 使用Sentinel专用代码

普通Redis服务器使用redis.h/REDIS_SERVERPORT常量的值作为服务器端口：

#define REDIS_SERVERPORT 6379

Sentinel使用sentinel.c/REDIS_SENTINEL_PORT常量的值作为服务器的端口：

#define REDIS_SENTINEL_PORT 26379

 

普通Redis服务器使用redis.c/redisCommandTable作为服务器的命令表：

Sentinel使用sentinel.c/sentinelcmds作为服务器的命令表：

sentinelcmds解释了为什么在Sentinel模式下，Redis服务器不能执行的一些命令的原因，因为服务器根本没有在命令表中载入这些命令。PING、SENTINEL、INFO、SUBSCRIBE、UNSUBSCRIBE、PSUBSCRIBE、PUNSUBSCRIBE这7个命令时客户端可以对Sentinel执行的全部命令

 

1.3 初始化Sentinel状态

服务器会初始化一个sentinel.c/sentinelState结构，这个结构保存了服务器中所有和Sentinel功能有关的状态（服务器的一般状态仍然由redis.h/redisServer结构保存）:

struct sentinelState{
    //当前纪元，用于实现故障转移
    uint64_t current_epoch;

    //保存了所有被这个sentinel监视的主服务器。字典的键是主服务器的名字，字典的值是一个指向sentinelRedisInstance结构的指针
    dict *masters;

    //是否进入TILT模式
    int tilt;

    //进入TILT模式的时间
    mstime_t tilt_start_time;

    //最后一次执行事件处理器的时间
    mstime_t previous_time;

    //一个FIFO队列，包含了所有需要执行的用户脚本
    list *scripts_queue;    

}sentinel;

 

1.4 初始化Sentinel状态的masters属性

Sentinel状态中的masters字典记录了所有被Sentinel监视的主服务器的相关信息，其中字典的键是主服务器的名字，字典的值是一个指向sentinelRedisInstance结构的指针。

每个sentinelRedisInstance结构代表一个被Sentinel监视的Redis服务器实例，这个实例可以是主服务器、从服务器或者是另一个Sentinel。

实例结构包含的属性非常多，以下代码展示了实例结构：

typedef struct sentinelRedisInstance{
    //标识值，记录了实例的类型，以及该实例的当前状态
    int flags;

    //实例的名字，主服务器的名字由用户在配置文件中设置，从服务器以及Sentinel的名字由Sentinel自动设置，格式为ip:port
    char *name;

    //实例的运行ID
    char *runid;

    //配置纪元，用于实现故障转移
    uint64_t config_epoch;

    //实例的地址
    sentinelAddr *addr;

    //SENTINEL down-after-milliseconds选项设定的值，实例无响应多少毫秒之后才会被判断为主观下线（subjectively down）
    mstime_t down_after_period;

    //SENTINEL monitor <master-name> <IP> <port> <quorum>选项中的quorum参数
    //判断这个实例为客观下线（objectively down）所需要的支持投票的数量
    int quorum;

    //SENTINEL parallel-syncs <master-name> <number>选项的值
    //在执行故障转移操作时，可以同时对新的主服务器进行同步的从服务器数量
    int parallel_syncs;

    //SENTINEL parallel-syncs <master-name> <ms>选项的值
    //刷新故障迁移状态的最大时限
    mstime_t failover_timeout;

    //...
    

}sentinelRedisInstance;

sentinelRedisInstance.addr属性是一个指向sentinel.c/sentinelAddr结构的指针，这个结构保存着实例的IP地址和端口号：

typedef struct sentinelAddr{
    char *ip;
    int port;
}sentinelAddr;

对Sentinel状态的初始化将引发对masters字典的初始化，而masters字典的初始化时根据被载入的Sentinel配置文件来进行的。

 

1.5 创建连向主服务器的网络连接

初始化Sentinel的最后一步是创建连向被监视主服务器的网络连接，Sentinel将成为主服务器的客户端，它可以向主服务器发送命令，并从命令回复中获取相关的信息。

对于每个被Sentinel监视的主服务器来说，Sentinel会创建两个连向主服务器的异步网络连接：

1）命令连接，这个连接专门用于向主服务器发送命令，并接受命令回复

2）订阅连接，这个连接专门用于订阅主服务器的_sentinel_:hello频道

 

2.获取主服务器信息

Sentinel默认会以每十秒一次的频率，通过命令连接向被监视的主服务器发送INFO命令，并通过分析INFO命令的回复来获取主服务器的当前信息：

1）关于主服务器本身的信息，包括run_id域记录的服务器运行ID，以及role域记录的服务器角色

2）关于主服务器属下所有从服务器的信息，每个从服务器都由一个“slave”字符串开头的行记录，每行的ip=域记录了从服务器的IP地址，而port=域则记录了从服务器的端口号。根据这些IP地址和端口号，Sentinel无需用户提供从服务器的地址信息，就可以自动发现从服务器。

根据run_id域和role域记录的信息，Sentinel将对主服务器的实例结构进行更新。

至于主服务器返回的从服务器信息，则会被用于更新主服务器实例结构的slaves字典，这个字典记录了主服务器属下从服务器的名单。

Sentinel在分析INFO命令中包含的从服务器信息时，会检查从服务器对应的实例结构是否已经存在于slaves字典。

注：主从服务器区别：

1）主服务器flags属性值为SRI_MASTER，从服务器flags属性值为SRI_SLAVE

2）主服务器name的值是用户使用Sentinel配置文件设置的，从服务器实例的name属性是Sentinel根据从服务器的ip和端口自动设置的

 

3.获取从服务器信息

当Sentinel发现主服务器有新的从服务器出现时，Sentinel除了会为这个新的从服务器创建相应的实例结构外，Sentinel还会创建连接到从服务器的命令连接和订阅连接。

Sentinel默认每十秒一次通过命令连接向从服务器发送INFO命令，根据回复，Sentinel会提取出以下信息：

1）从服务器的运行ID：run_id

2）从服务器的角色role

3）主服务器的ip地址master_host，以及主服务器的端口号master_port

4）主从服务器的连接状态master_link_status

5）从服务器的优先级slave_priority

6）从服务器的复制偏移量slave_repl_offset

 

4.向主服务器和从服务器发送信息

在默认情况下，Sentinel会以每2秒一次的频率，通过命令连接向所有被监视的主服务器和从服务器发送PUBLISH _sentinel_hello命令。

 

5.接受来自主服务器和从服务器的频道信息

当Sentinel与一个主服务器或者从服务器建立起订阅连接之后，Sentinel就会通过订阅连接，向服务器发送以下命令：

SUBSCRIBE _sentinel_:hello

这个频道会一直持续到Sentinel与服务器的连接断开为止，也就是说，对于每个与Sentinel连接的服务器，Sentinel既可以通过命令连接向服务器的_sentinel_:hello频道发送信息，又可以通过订阅连接从服务器的_sentinel_:hello频道接受信息。

对于监视同一个服务器的多个Sentinel来说，一个Sentinel发送的信息会被其他Sentinel接收到，这些信息会被用于更新其他Sentinel对发送信息Sentinel的认知，也会被用于更新其他Sentinel对被监视服务器的认知

 

5.1 更新sentinels字典

Sentinel为主服务器创建的势力结构中的sentinels字典保存了除Sentinel本身之外，所有同样监视这个主服务器的其他Sentinel的资料。

当一个Sentinel接收到其他Sentinel发来的信息时，（发送消息为源Sentinel，接收消息为目标Sentinel）目标Sentinel会从信息中分析并提取出以下两方面参数：

1）与Sentinel有关的参数：源Sentinel的IP，端口，运行ID，配置纪元

2）与主服务器有关的参数：源Sentinel正在监视的主服务器的名字，IP，端口，配置纪元

根据信息中提取出的主服务器参数，目标Sentinel会在自己的Sentinel状态的masters字典中查找相应的主服务器实际结构，然后根据提取出的Sentinel参数，检查主服务器实例结构的sentinels字典中，源Sentinel的实例结构是否存在：如果存在更新，否则目标Sentinel为源Sentinel创建一个新的实例结构，并将这个结构添加到sentinels字典里面。

因为一个Sentinel可以通过分析接收到的频道信息来获知其他Sentinel的存在，并通过发送频道信息让其他Sentinel知道自己的存在，所以监视同一个主服务器的多个Sentinel可以自动发现对方。

 

5.2 创建连向其他Sentinel的命令连接

当Sentinel通过频道信息发现一个新的Sentinel时，它不仅会为新的Sentinel在sentinels字典中创建相应的实例结构，还会创建一个连向新Sentinel的命令连接，而新Sentinel同样也会创建一个连向这个Sentinel的命令连接，最终监视同一主服务器的多个Sentinel将形成相互连接的网络。

 

6.检查主观下线状态

默认情况下，Sentinel会以每秒一次的频率向所有与它创建了命令连接的实例发送PING命令，并通过实例返回的回复来判断是否在线。

实例对PING命令的回复可以分为以下两种情况：

1）有效回复：实例返回+PONG、-LOADING、-MASTERDOWN三种回复之一

2）无效回复：实例返回除上述三个以外的其他回复

Sentinel配置文件中的down-after-milliseconds选项指定了Sentinel判断实例进入主观下线所需时间。若在该时间内连续向Sentinel返回无效回复，那么Sentinel会修改这个实例所对应的的实例结构，在flags属性中打开SRI_S_DOWN表示表面进入主观下线状态。这个时间时判断主服务器及其属性所有从服务器以及其他Sentinel是否主观下线。

注：监视同一个主服务器的多个Sentinel时间可能不同

 

7.监测客观下线状态

当Sentinel将一个主服务器判断为主观下线之后，为了确认这个主服务器是否真的下线，它会向同样监视这个主服务器的其他Sentinel进行询问，看它是否也认为主服务器已经进入下线状态。当足够数量Sentinel都认为下线，就会从主观下线变为客观下线，并对主服务器执行故障转移操作。

 

7.1 发送SENTINEL is-master-down-by-addr命令

Sentinel使用：

SENTINEL is-master-down-by-addr <ip> <port> <current_epoch> <runid>

命令询问其他Sentinel是否同意主服务器已下线：

 

7.2 接收SENTINEL is-master-down-by-addr命令

当目标Sentinel接收到源Sentinel发送来的SENTINEL is-master-down-by-addr命令时，目标Sentinel会分析并去除命令请求中包含的各个参数，并根据其中注服务器的IP和端口号，监测主服务器是否已下线，然后向源Sentinel返回一条包含三个参数的Multi Bulk回复作为SENTINEL is-master-down-by-addr命令的回复：

1）<down_state>

2）<leader_runid>

3）<leader_epoch>

 

7.3 接收SENTINEL is-master-down-by-addr命令的回复

根据其他Sentinel发回的SENTINEL is-master-down-by-addr命令回复，Sentinel将统计其他Sentinel同意主服务器已下线的数量，当这个数量达到配置指定的判断客观下线所需的数量时，Sentinel会将主服务器实例结构flags属性的SRI_0_DOWN标识打开，表示主服务器已经进入客观下线状态

 

8.选举领头Sentinel

当一个主服务器被判断为客观下线时，监视这个下线主服务器的各个Sentinel会进行协商，选举出一个领头Sentinel，并由领头Sentinel对下线主服务器执行，选举规则如下：

1）所有在线的Sentinel都由被选举为领头Sentinel的资格

2）每次选举之后，无论是否选上，所有Sentinel的配置纪元都会自增一

3）在一个配置纪元里，所有Sentinel都有一次将某个Sentinel设置为局部领头Sentinel的机会，并且局部领头一旦设置，在这个配置纪元里就不能改变

4）当源Sentinel向目标Sentinel发送SENTINEL is-master-down-by-addr命令，并且命令中的runid参数不为*，表示源Sentinel要求目标Sentinel将前者设置为后者的局部领头Sentinel

5）Sentinel设置局部领头Sentinel的规则是先到先得

6）目标Sentinel在接收到SENTINEL is-master-down-by-addr命令之后，将向源Sentinel返回一条命令回复，回复中的leader_runid参数和leader_epoch参数分别记录了目标Sentinel的局部领头Sentinel的运行ID和配置纪元

7）源Sentinel在接收到目标Sentinel返回的命令回复之后，会检查回复中的leader_epoch参数的值和自己的配置纪元是否相同。如果相同，源Sentinel继续取出回复中的leader_runid参数，如果leader_runid的值和源Sentinel的运行ID一致，表示目标Sentinel将源Sentinel设置成了局部领头Sentinel

8）如果有某个Sentinel被半数以上的Sentinel设置成了局部领头Sentinel，那么这个Sentinel将成为领头Sentinel

9）一个配置纪元只有一个领头Sentinel

10）如果在给定时限里，没有一个Sentinel被选举为领头Sentinel，那么各个Sentinel将在一段时间之后再进行再次选举，直到选举出领头Sentinel为止

 

9.故障转移

在选举出领头Sentinel后，领头Sentinel将对已下线的主服务器执行故障转移操作：

1）在已下线主服务器属下的所有从服务器里面，挑选出一个从服务器，并将其转换为主服务器

2）让已下线主服务器属下的所有从服务器改为复制新的主服务器

3）将已下线主服务器设置为新的主服务器的从服务器，当这个旧的主服务器重新上线时，它就会成为新的主服务器的从服务器

 

9.1选出新的主服务器

从服务器挑选出来后，向这个从服务器发送SLAVEOF no one命令，将这个从服务器转换为主服务器。

主服务器筛选过程：

1）删除列表中所有处于下线或者断线状态的从服务器

2）删除列表中所有最近五秒内没有回复过领头Sentinel的INFO命令的从服务器

3）删除所有与已下线主服务器连接断开超过down-after-milliseconds*10毫秒的从服务器

4）依次筛选条件：最高优先级、最大偏移量、最小运行ID

 

9.2 修改从服务器的复制目标

当新的主服务器出现之后，下一步是让所有从服务器去复制新的主服务器，这个动作可以通过向从服务器发送SLAVEOF命令来实现

 

9.3 将旧的主服务器变成从服务器

当旧的主服务器一上线，领头Sentinel就会向他发送SLAVEOF命令