keepalived脑裂使用zabbix进行监控

咖啡调调。

已于 2022-10-24 11:45:35 修改

阅读量373

点赞数

分类专栏：服务文章标签： zabbix 网络服务器

于 2022-10-09 23:36:08 首次发布

本文链接：https://blog.csdn.net/qq_65998623/article/details/127236085

版权

服务专栏收录该内容

26 篇文章 0 订阅

订阅专栏

keepalived脑裂使用zabbix进行监控

文章目录

keepalived脑裂使用zabbix进行监控
@[toc]
一、脑裂介绍
二、脑裂产生原因
三、脑裂解决方案
四、正向代理、反向代理、透明代理
五、zabbix监控脑裂部署
1、部署zabbix
2、部署keepalived
3、安装zabbix_agentd
4、添加主机
5、编写监控脚本
6、添加监控项
7、添加触发器
8、添加媒介
9、模拟脑裂

一、脑裂介绍

在高可用（HA）系统中，当联系2个节点的“心跳线”断开时，本来为一整体、动作协调的HA系统，就分裂成为2个独立的个体。由于相互失去了联系，都以为是对方出了故障。两个节点上的HA软件像“裂脑人”一样，争抢“共享资源”、争起“应用服务”，就会发生严重后果——或者共享资源被瓜分、2边“服务”都起不来了；或者2边“服务”都起来了，但同时读写“共享存储”，导致数据损坏（常见如数据库轮询着的联机日志出错）。
　　
对付HA系统“裂脑”的对策，目前达成共识的的大概有以下几条：

添加冗余的心跳线，例如：双线条线（心跳线也HA），尽量减少“裂脑”发生几率；
启用磁盘锁。正在服务一方锁住共享磁盘，“裂脑”发生时，让对方完全“抢不走”共享磁盘资源。但使用锁磁盘也会有一个不小的问题，如果占用共享盘的一方不主动“解锁”，另一方就永远得不到共享磁盘。现实中假如服务节点突然死机或崩溃，就不可能执行解锁命令。后备节点也就接管不了共享资源和应用服务。于是有人在HA中设计了“智能”锁。即：正在服务的一方只在发现心跳线全部断开（察觉不到对端）时才启用磁盘锁。平时就不上锁了。
设置仲裁机制。例如设置参考IP（如网关IP），当心跳线完全断开时，2个节点都各自ping一下参考IP，不通则表明断点就出在本端。不仅“心跳”、还兼对外“服务”的本端网络链路断了，即使启动（或继续）应用服务也没有用了，那就主动放弃竞争，让能够ping通参考IP的一端去起服务。更保险一些，ping不通参考IP的一方干脆就自我重启，以彻底释放有可能还占用着的那些共享资源

二、脑裂产生原因

一般来说，脑裂的发生，有以下几种原因：

高可用服务器对之间心跳线链路发生故障，导致无法正常通信
- 因心跳线坏了（包括断了，老化）
- 因网卡及相关驱动坏了，ip配置及冲突问题（网卡直连）
- 因心跳线间连接的设备故障（网卡及交换机）
- 因仲裁的机器出问题（采用仲裁的方案）
高可用服务器上开启了 iptables防火墙阻挡了心跳消息传输
高可用服务器上心跳网卡地址等信息配置不正确，导致发送心跳失败
其他服务配置不当等原因，如心跳方式不同，心跳广插冲突、软件Bug等

三、脑裂解决方案

在实际生产环境中，我们可以从以下几个方面来防止裂脑问题的发生：

同时使用串行电缆和以太网电缆连接，同时用两条心跳线路，这样一条线路坏了，另一个还是好的，依然能传送心跳消息
当检测到裂脑时强行关闭一个心跳节点（这个功能需特殊设备支持，如Stonith、feyce）。相当于备节点接收不到心跳消患，通过单独的线路发送关机命令关闭主节点的电源
做好对裂脑的监控报警（如邮件及手机短信等或值班）.在问题发生时人为第一时间介入仲裁，降低损失。例如，百度的监控报警短信就有上行和下行的区别。报警消息发送到管理员手机上，管理员可以通过手机回复对应数字或简单的字符串操作返回给服务器.让服务器根据指令自动处理相应故障，这样解决故障的时间更短.
　　
当然，在实施高可用方案时，要根据业务实际需求确定是否能容忍这样的损失。对于一般的网站常规业务.这个损失是可容忍的

四、正向代理、反向代理、透明代理

正向代理

正向代理是一个位于客户端和目标服务器之间的代理服务器(中间服务器)。为了从目标服务器取得内容，客户端向代理服务器发送一个请求，并且指定目标服务器，之后代理向目标服务器转发请求并且将获得的内容返回给客户端。正向代理的情况下客户端必须要进行一些特别的设置才能使用。

正向代理可以但不限于为局域网内客户端做代理，它扮演的角色类似于NAT。

透明代理

透明代理(transparent proxy)，透明代理其实也叫做内网代理(inline proxy)、拦截代理(intercepting proxy)以及强制代理(force proxy)。透明代理和正向代理的行为很相似，但细节上有所不同。透明代理将拦截客户端发送的请求，拦截后自己代为访问服务端，获取响应结果后再由透明代理交给客户端。一般公司内的上网行为管理软件就是透明代理。

正向代理和透明代理的区别
细分起来还是有不少的，但主要几点：

正向代理时，客户端明确指明请求要交给正向代理服务，也就是说要设置代理。而透明代理对客户端是透明的，客户端不知道更不用设置透明代理，但是客户端发出去的请求都会被透明代理拦截。
正向代理为了实现某些额外的需求，有可能会修改请求报文，但按照RFC文档的要求，透明代理不会修改请求报文。
正向代理可以内网也可以外网，但透明代理都是内网。

反向代理

反向代理正好与正向代理相反，对于客户端而言代理服务器就像是原始服务器，并且客户端不需要进行任何特别的设置。

客户端向反向代理的命名空间(name-space)中的内容发送普通请求，接着反向代理将判断向何处(原始服务器)转交请求，并将获得的内容返回给客户端，使得这些内容就好似他自己一样，一次客户端并不会感知到反向代理后面的服务，也因此不需要客户端做任何设置，只需要把反向代理服务器当成真正的服务器就好了。

反向代理服务器的作用
保护和隐藏资源服务器
负载均衡，CDN 技术的就是利用了反向代理技术
正向代理和反向代理的区别
从用途上来讲：

正向代理的典型用途是为在防火墙内的局域网客户端提供访问Internet的途径。
正向代理还可以使用缓冲特性减少网络使用率。
反向代理的典型用途是将防火墙后面的服务器提供给Internet用户访问。
反向代理还可以为后端的多台服务器提供负载平衡，或为后端较慢的服务器提供缓冲服务。
另外，反向代理还可以启用高级URL策略和管理技术，从而使处于不同web服务器系统的web页面同时存在于同一个URL空间下。
从安全性来讲：

正向代理允许客户端通过它访问任意网站并且隐藏客户端自身，因此你必须采取安全措施以确保仅为经过授权的客户端提供服务。
反向代理对外都是透明的，访问者并不知道自己访问的是一个代理。

五、zabbix监控脑裂部署

环境说明

主机名	IP地址	需要安装的服务	系统
zabbix	192.168.183.137	zabbix	centos8
master	192.168.183.135	haproxy、keepalived	centos8
backup	192.168.183.136	haproxy、keepalived、zabbix_agentd	centos8
RS1	192.168.183.139	httpd	centos8
RS2	192.168.183.138	nginx	centos8

1、部署zabbix

参考文章：监控服务zabbix部署

2、部署keepalived

参考文章：keepalived实现haproxy负载均衡高可用

3、安装zabbix_agentd

在backup端安装zabbix_agentd监控项

//创建用户
[root@backup ~]# useradd -rMs /sbin/nologin zabbix

//安装依赖包
[root@backup ~]# dnf -y install make gcc gcc-c++ pcre-devel openssl openssl-devel wget

//下载zabbix软件包
[root@backup ~]# wget https://cdn.zabbix.com/zabbix/sources/stable/6.2/zabbix-6.2.2.tar.gz

//解压安装
[root@backup ~]# tar -xf zabbix-6.2.2.tar.gz
[root@backup ~]# cd zabbix-6.2.2/
[root@backup zabbix-6.2.2]# ./configure --enable-agent
[root@backup zabbix-6.2.2]# make install

//修改配置文件
[root@backup zabbix-6.2.2]# vim /usr/local/etc/zabbix_agentd.conf
······
Server=192.168.183.137
······
ServerActive=192.168.183.137
······
Hostname=backup

//启动服务
[root@backup zabbix-6.2.2]# cd
[root@backup ~]# zabbix_agentd 
[root@backup ~]# ss -antl
State   Recv-Q   Send-Q     Local Address:Port      Peer Address:Port  Process  
LISTEN  0        128              0.0.0.0:80             0.0.0.0:*              
LISTEN  0        128              0.0.0.0:22             0.0.0.0:*              
LISTEN  0        128              0.0.0.0:10050          0.0.0.0:*              
LISTEN  0        128                 [::]:22                [::]:*

4、添加主机

在这里插入图片描述

5、编写监控脚本

[root@backup ~]# cd /scripts/
[root@backup scripts]# cat check_k.sh 
#!/bin/bash
  
if [ `ip a show ens33 |grep 192.168.183.250|wc -l` -ne 0 ];then
    echo "1"
else
    echo "0"
fi

[root@backup scripts]# chmod +x check_k.sh 

//修改配置文件
[root@backup scripts]# vim /usr/local/etc/zabbix_agentd.conf
UnsafeUserParameters=1
UserParameter=check_keepalived,/bin/bash /scripts/check_k.sh

//重启服务
[root@backup scripts]# pkill zabbix_agentd
[root@backup scripts]# zabbix_agentd 
[root@backup scripts]# ss -antl
State   Recv-Q   Send-Q     Local Address:Port      Peer Address:Port  Process  
LISTEN  0        128              0.0.0.0:80             0.0.0.0:*              
LISTEN  0        128              0.0.0.0:22             0.0.0.0:*              
LISTEN  0        128              0.0.0.0:10050          0.0.0.0:*              
LISTEN  0        128                 [::]:22                [::]:*      
//在服务端检查key是否可用
[root@zabbix ~]# zabbix_get -s 192.168.183.136 -k check_keepalived
0

6、添加监控项

在这里插入图片描述

7、添加触发器

在这里插入图片描述

8、添加媒介

参考文章：zabbix监控Linux和Windows

9、模拟脑裂

master端

[root@master ~]# vim /etc/keepalived/keepalived.conf 
virtual_router_id 50		//脑裂时两端的路由id不同，产生脑裂
[root@master ~]# systemctl restart keepalived
[root@master ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:7f:37:b0 brd ff:ff:ff:ff:ff:ff
    inet 192.168.183.135/24 brd 192.168.183.255 scope global dynamic noprefixroute ens33
       valid_lft 1399sec preferred_lft 1399sec
    inet 192.168.183.250/32 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe7f:37b0/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

backup端

[root@backup scripts]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:07:de:9b brd ff:ff:ff:ff:ff:ff
    inet 192.168.183.136/24 brd 192.168.183.255 scope global dynamic noprefixroute ens33
       valid_lft 1381sec preferred_lft 1381sec
    inet 192.168.183.250/32 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe07:de9b/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever