Keepalived原理与实战

細細.魚

　　
什么是Keepalived呢? keepalived观其名可知保持存活在网络里面就是保持在线了，也就是所谓的高可用或热备用来防止单点故障(单点故障是指一旦某一点出现故障就会导致整个系统架构的不可用)的发生。那说到keepalived时不得不说的一个协议就是VRRP协议，可以说这个协议就是keepalived实现的基础，那么首先我们来看看VRRP协议

一、VRRP协议

• 　　VRRP协议
  学过网络的朋友都知道网络在设计的时候必须考虑到冗余容灾包括线路冗余设备冗余等防止网络存在单点故障那在路由器或三层交换机处实现冗余就显得尤为重要在网络里面有个协议就是来做这事的这个协议就是VRRP协议Keepalived就是巧用VRRP协议来实现高可用性(HA)的。keepalived完全遵守VRRP协议包括竞选机制等等
  　　
  　　
  　　
  
  

　　
　　二、Keepalived原理

• 　　Keepalived原理
  keepalived也是模块化设计不同模块复杂不同的功能下面是keepalived的组件
  corecheck vrrp libipfwc libipvs-2.4 libipvs-2.6
  
  core是keepalived的核心复杂主进程的启动和维护全局配置文件的加载解析等
  check负责healthchecker(健康检查)包括了各种健康检查方式以及对应的配置的解析包括LVS的配置解析
  vrrpVRRPD子进程VRRPD子进程就是来实现VRRP协议的
  libipfwciptables(ipchains)库配置LVS会用到
  libipvs*配置LVS会用到
  注意keepalived和LVS完全是两码事只不过他们各负其责相互配合而已
  
  
  

• 　　
  keepalived启动后会有三个进程
  父进程：内存管理子进程管理等等
  子进程：VRRP子进程
  子进程：healthchecker子进程
  
  有图可知两个子进程都被系统WatchDog看管，两个子进程各自负责自己的事。healthchecker子进程负责检查各自服务器的健康程度。例如HTTP、LVS等等。如果healthchecker子进程检查到MASTER上服务不可用了，就会通知本机上的兄弟VRRP子进程让他删除、通告并且去掉虚拟IP，转换为BACKUP状态
  
  
  

　　三、Keepalived配置文件详解
　　    keepalived配置详解
　　    keepalived有三类配置区域(姑且就叫区域吧)注意不是三种配置文件是一个配置文件里面三种不同类别的配置区域

• 　　全局配置(Global Configuration)
  
• 　　VRRPD配置
  
• 　　LVS配置
  
  （一）全局配置
  全局配置又包括两个子配置
  
• 　　全局定义(global definition)
  
• 　　静态路由配置(static ipaddress/routes)
  
  1、全局定义(global definition)配置范例
  

1.  global_defs
2.  {
3.  notification_email
4.  {
5.  admin@example.com
6.  }
7.  notification_email_from admin@example.com
8.  smtp_server 127.0.0.1
9.  stmp_connect_timeout 30
10.router_id node1
11.}
　　    全局配置解析
            global_defs全局配置标识表面这个区域{}是全局配置
1.  notification_email
2.  {
3.  admin@example.com
4.  admin@ywlm.net
5.  }
　　    表示keepalived在发生诸如切换操作时需要发送email通知，以及email发送给哪些邮件地址，邮件地址可以多个，每行一个

            notification_email_from admin@example.com
    表示发送通知邮件时邮件源地址是谁

            smtp_server 127.0.0.1
    表示发送email时使用的smtp服务器地址这里可以用本地的sendmail来实现

            smtp_connect_timeout 30
    连接smtp连接超时时间

            router_id node1
    机器标识

        2、静态地址和路由配置范例
1.  static_ipaddress
2.  {
3.  192.168.1.1/24 brd + dev eth0 scope global
4.  192.168.1.2/24 brd + dev eth1 scope global
5.  }
6.  static_routes
7.  {
8.  src $SRC_IP to $DST_IP dev $SRC_DEVICE
9.  src $SRC_IP to $DST_IP via $GW dev$SRC_DEVICE
10.}
　　
    这里实际上和系统里面命令配置IP地址和路由一样例如
            192.168.1.1/24 brd + dev eth0 scope global 相当于: ip addr add192.168.1.1/24 brd + dev eth0 scope global
    就是给eth0配置IP地址
    路由同理
    一般这个区域不需要配置
    这里实际上就是给服务器配置真实的IP地址和路由的。在复杂的环境下可能需要配置，一般不会用这个来配置。我们可以直接
    用vi /etc/sysconfig/network-script/ifcfg-eth1来配置。切记这里可不是VIP哦，不要搞混淆了切记切记！

  （二）VRRPD配置
        VRRPD配置包括三个类
        VRRP同步组(synchroization group)
        VRRP实例(VRRP Instance)
　　        VRRP脚本

        1、VRRP同步组(synchroizationgroup)配置范例
1.  vrrp_sync_group VG_1 {
2.  group {
3.  http
4.  mysql
5.  }
6.  notify_master /path/to/to_master.sh
7.  notify_backup /path_to/to_backup.sh
8.  notify_fault "/path/fault.shVG_1"
9.  notify /path/to/notify.sh
10.smtp_alert
11.}
　　    其中
1.  group {
2.  http
3.  mysql
4.  }
　　            http和mysql是实例名，和下面的实例名一致


1.  notify_master /path/to/to_master.sh 表示当切换到master状态时要执行的脚本
2.  notify_backup /path_to/to_backup.sh 表示当切换到backup状态时要执行的脚本
3.  notify_fault "/path/fault.shVG_1"
　　                         notify /path/to/notify.sh

            smtp alter 表示切换时给global defs中定义的邮件地址发送右键通知

        2、VRRP实例(instance)配置范例
1.  vrrp_instance VI_1 {  
2.      interface eth0  
3.      state MASTER  # BACKUP for slave routers
4.      priority 101  # 100 for BACKUP
5.      virtual_router_id 51
6.      garp_master_delay 1
7.    
8.      authentication {  
9.          auth_type PASS  
10.        auth_pass password  
11.    }  
12.    track_interface {  
13.       eth0   
14.    }  
15.    virtual_ipaddress {  
16.        172.16.100.1/16 dev eth0 label eth0:0
17.    }  
18.    track_script {  
19.        chk_haproxy  
20.        chk_mantaince_down
21.    }  
22.  
23.
24.    notify_master"/etc/keepalived/notify.sh master"
25.    notify_backup "/etc/keepalived/notify.shbackup"  
26.    notify_fault"/etc/keepalived/notify.sh fault"
}

• state 指定instance(Initial)的初始状态。就是说在配置好后这台服务器的初始状态就是这里指定的，但这里指定的不算，还是得要通过竞选通过优先级来确定，如果这里设置为master，但如若他的优先级不及另外一台，那么这台在发送通告时会发送自己的优先级，另外一台发现优先级不如自己的高，那么他会就回抢占为master
  
  
• interface 实例绑定的网卡因为在配置虚拟IP的时候必须是在已有的网卡上添加的
  
  
• track interface 跟踪接口设置。额外的监控里面，任意一块网卡出现问题都会进入故障(FAULT)状态。例如用nginx做均衡器的时候内网必须正常工作，如果内网出问题了这个均衡器也就无法运作了，所以必须对内外网同时做健康检查
  
  
• mcastsrc ip 发送多播数据包时的源IP地址。这里实际上就是在哪个地址上发送VRRP通告。这个非常重要！一定要选择稳定的网卡端口来发送。这里相当于heartbeat的心跳端口，如果没有设置那么就用默认的绑定的网卡的IP，也就是interface指定的IP地址
  
  
• garp master delay 在切换到master状态后延迟进行免费的ARP(gratuitous ARP)请求
  
  
• virtual_router_id 这里设置VRID。这里非常重要，相同的VRID为一个组他将决定多播的MAC地址
  
  
• priority 100 设置本节点的优先级。优先级高的为master
  
  
• advert_int 检查间隔默认为1秒
  
  
• virtualipaddress 这里设置的就是VIP，也就是虚拟IP地址。他随着state的变化而增加删除。当state为master的时候就添加，当state为backup的时候删除。这里主要是由优先级来决定的，和state设置的值没有多大关系。这里可以设置多个IP地址
  
  
• virtualroutes 原理和virtual ipaddress一样只不过这里是增加和删除路由
  
  
• lvssync daemon interface lvs syncd绑定的网卡
  
  
• authentication 这里设置认证
  
  
• authtype 认证方式可以是PASS或AH两种认证方式
  
  
• authpass 认证密码
  
  
• nopreempt 设置不抢占。这里只能设置在state为backup的节点上，而且这个节点的优先级必须比另外的高
  
  
• preemptdelay 抢占延迟
  
  
• debug debug级别
  
  
• notifymaster 和sync group这里设置的含义一样，可以单独设置。例如不同的实例通知不同的管理人员，http实例发给网站管理员，mysql的就发邮件给DBA
  
  3、VRRP脚本
  
  
  

1.  vrrp_script check_running {
2.     script "/usr/local/bin/check_running"
3.     interval 10
4.     weight 10
5.  }
6.  
7.  vrrp_instance http {
8.     state BACKUP
9.    smtp_alert
10.  interface eth0
11.  virtual_router_id 101
12.   priority 90
13.  advert_int 3
14.  authentication {
15.  auth_type PASS
16.  auth_pass whatever
17.   }
18.  virtual_ipaddress {
19.   1.1.1.1
20.   }
21.  track_script {
22.  check_running weight 20
23.   }
24.}

• 首先在vrrp_script区域定义脚本名字和脚本执行的间隔和脚本执行的优先级变更
  vrrp_script check_running {
  script "/usr/local/bin/check_running"
  interval 10     #脚本执行间隔
  weight 10      #脚本结果导致的优先级变更，10表示优先级+10-10则表示优先级-10
  }
  
• 　　然后在实例(vrrp_instance)里面引用有点类似脚本里面的函数引用一样先定义后引用函数名
  track_script {
  check_running weight 20
  }
  
  
• 　　注意VRRP脚本(vrrp_script)和VRRP实例(vrrp_instance)属于同一个级别
  　　
  
  
• 　　脚本实例2
  　　vrrp_script     chk_nginx {
              script "killall -0     nginx > /dev/null 2>&1"
              interval 1
              weight -5 #检测失败的时候权重减5
      }
        
  　　       killall -0 服务名称
  　　       用于检测服务是否正常运行返回值为0则正常1异常
  

　　
　　
　　

四、针对LVS的特有配置

　　
如果你没有配置LVS+keepalived那么无需配置这段区域，如果你用的是nginx来代替LVS也无需配置这段，这里的LVS配置是专门为keepalived+LVS集成准备的。不过也可以用来做一些特别的检测，检测出状态后可以写脚本去做相应的处理。
  注意了，这里LVS配置并不是指真的安装LVS然后用ipvsadm来配置他，而是用keepalived的配置文件来代替ipvsadm来配置LVS，这样会方便很多，一个配置文件搞定这些维护方便配置方便是也

  这里LVS配置也有两个配置

• 　　一个是虚拟主机组配置
  
• 　　一个是虚拟主机配置
  
  1、虚拟主机组配置文件详解
  这个配置是可选的根据需求来配置吧这里配置主要是为了让一台realserver上的某个服务可以属于多个Virtual Server并且只做一次健康检查
  
  virtual_server_group  {
  # VIP port
  
  
  fwmark
  }
  
  2、虚拟主机配置
  
  virtual server可以以下面三种的任意一种来配置
  

1. virtual server IP port
2. virtual server fwmark int
3. virtual server group string

• 　　下面以第一种比较常用的方式来配详细解说一下
  
                  virtual_server 192.168.1.2 80 {                  
                  #设置一个virtual server:VIP:Vport
  
                  delay_loop 3               
                  # service polling的delay时间即服务轮询的时间间隔
  
                  lb_algo rr|wrr|lc|wlc|lblc|sh|dh                      #LVS调度算法
                  lb_kind NAT|DR|TUN                                    #LVS集群模式                     
  
                  persistence_timeout 120                              
                  #会话保持时间秒为单位即以用户在120秒内被分配到同一个后端realserver
  
                  persistence_granularity            
                  #LVS会话保持粒度ipvsadm中的-M参数默认是0xffffffff即每个客户端都做会话保持
  
                  protocol TCP                                                #健康检查用的是TCP还是UDP
                  ha_suspend                                                #suspendhealthchecker’sactivity
  
                  virtualhost                                    
                  #HTTP_GET做健康检查时检查的web服务器的虚拟主机即host头
  
                  sorry_server                 
                   #备用机就是当所有后端realserver节点都不可用时就用这里设置的也就是临时把所有的请求都发送到这里啦
  
                  real_server                    
                  #后端真实节点主机的权重等设置主要后端有几台这里就要设置几个
  
                  {
                  weight 1            #给每台的权重0表示失效(不知给他转发请求知道他恢复正常)默认是1
                  inhibit_on_failure               #表示在节点失败后把他权重设置成0而不是冲IPVS中删除
  
                  notify_up  |  #检查服务器正常(UP)后要执行的脚本
                  notify_down  | #检查服务器失败(down)后要执行的脚本
  
                  HTTP_GET                                                  #健康检查方式
                  {
                  url {                                                         #要检测的URL可以有多个
                  path /                                                       #具体路径
                  digest                                          
                  status_code 200                                         #返回状态码
                  }
                  connect_port 80                                         #监控检查的端口
  
                  bindto                                         #健康检查的IP地址
                  connect_timeout   3                                     #连接超时时间
                  nb_get_retry 3                                            #重连次数
                  delay_before_retry 2                                     #重连间隔
                  } # END OF HTTP_GET|SSL_GET
  
  
  #下面是常用的健康检查方式健康检查方式一共有HTTP_GET|SSL_GET|TCP_CHECK|SMTP_CHECK|MISC_CHECK这些
  
• 　　#TCP方式
  TCP_CHECK {
  connect_port 80
  bindto 192.168.1.1
  connect_timeout 4
  } # TCP_CHECK
  　　
  
  
• 　　# SMTP方式这个可以用来给邮件服务器做集群
  SMTP_CHECK
  host {
  connect_ip
  connect_port                                    #默认检查25端口
  14 KEEPALIVED
  bindto
  }
  connect_timeout
  retry
  delay_before_retry
  # "smtp HELO"|·-ê§à"
  helo_name |
  } #SMTP_CHECK
  
  　　
  
  
• 　　#MISC方式这个可以用来检查很多服务器只需要自己会些脚本即可
  MISC_CHECK
  {
  misc_path | #外部程序或脚本
  misc_timeout                                   #脚本或程序执行超时时间
  
  misc_dynamic                                            
  #这个就很好用了可以非常精确的来调整权重是后端每天服务器的压力都能均衡调配这个主要是通过执行的程序或脚本返回的状态代码来动态调整weight值使权重根据真实的后端压力来适当调整不过这需要有过硬的脚本功夫才行哦
  #返回0健康检查没问题不修改权重
  #返回1健康检查失败权重设置为0
  #返回2-255健康检查没问题但是权重却要根据返回代码修改为返回码-2例如如果程序或脚本执行后返回的代码为200#那么权重这回被修改为 200-2
  }
  } # Realserver
  } # Virtual Server
  

　　
　　五、keepalived通知脚本进阶示例
　　

　　

　　
　　下面的脚本可以接受选项其中
　　-s, --service SERVICE,...指定服务脚本名称当状态切换时可自动启动、重启或关闭此服务
　　-a, --address VIP: 指定相关虚拟路由器的VIP地址
　　-m, --mode {mm|mb}指定虚拟路由的模型mm表示主主mb表示主备它们表示相对于同一种服务而方其VIP的工作类型
　　-n, --notify {master|backup|fault}指定通知的类型即vrrp角色切换的目标角色
　　-h, --help获取脚本的使用帮助
　　

　　#!/bin/bash
　　# Author: MageEdu
　　# description: An example of notify script
　　# Usage: notify.sh -m|--mode {mm|mb} -s|--service SERVICE1,... -a|--address VIP  -n|--notify {master|backup|falut} -h|--help
　　

　　#contact='linuxedu@foxmail.com'
　　helpflag=0
　　serviceflag=0
　　modeflag=0
　　addressflag=0
　　notifyflag=0
　　

　　contact='root@localhost'
　　

　　Usage() {
　　  echo "Usage: notify.sh [-m|--mode {mm|mb}] [-s|--service SERVICE1,...]   "
　　  echo "Usage: notify.sh -h|--help"
　　}
　　

　　ParseOptions() {
　　  local I=1;
　　  if [ $# -gt 0 ]; then
　　    while [ $I -le $# ]; do
　　      case $1 in
　　 -s|--service)
　　[ $# -lt 2 ] && return 3
　　     serviceflag=1
　　 services=(`echo $2|awk -F"," '{for(i=1;i