keepalived + nginx实现高可用
1. Keepalived介绍
Keepalived是一个基于VRRP协议来实现的服务高可用方案,可以利用其来避免IP单点故障,类似的工具还有heartbeat、corosync、pacemaker。但是它一般不会单独出现,而是与其它负载均衡技术(如lvs、haproxy、nginx)一起工作来达到集群的高可用。
1.1 VRRP协议
VRRP全称 Virtual Router Redundancy Protocol,即 虚拟路由冗余协议。可以认为它是实现路由器高可用的容错协议,即将N台提供相同功能的路由器组成一个路由器组(Router Group),这个组里面有一个master和多个backup,但在外界看来就像一台一样,构成虚拟路由器,拥有一个虚拟IP(vip,也就是路由器所在局域网内其他机器的默认路由),占有这个IP的master实际负责ARP相应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。master会发组播消息,当backup在超时时间内收不到vrrp包时就认为master宕掉了,这时就需要根据VRRP的优先级来选举一个backup当master,保证路由器的高可用。
在VRRP协议实现里,虚拟路由器使用 00-00-5E-00-01-XX 作为虚拟MAC地址,XX就是唯一的 VRID (Virtual Router IDentifier),这个地址同一时间只有一个物理路由器占用。在虚拟路由器里面的物理路由器组里面通过多播IP地址 224.0.0.18 来定时发送通告消息。每个Router都有一个 1-255 之间的优先级别,级别最高的(highest priority)将成为主控(master)路由器。通过降低master的优先权可以让处于backup状态的路由器抢占(pro-empt)主路由器的状态,两个backup优先级相同的IP地址较大者为master,接管虚拟IP。
与heartbeat/corosync等比较
直接摘抄自 http://www.linuxidc.com/Linux/2013-08/89227.htm :
Heartbeat、Corosync、Keepalived这三个集群组件我们到底选哪个好,首先我想说明的是,Heartbeat、Corosync是属于同一类型,Keepalived与Heartbeat、Corosync,根本不是同一类型的。Keepalived使用的vrrp协议方式,虚拟路由冗余协议 (Virtual Router Redundancy Protocol,简称VRRP);Heartbeat或Corosync是基于主机或网络服务的高可用方式;简单的说就是,Keepalived的目的是模拟路由器的高可用,Heartbeat或Corosync的目的是实现Service的高可用。
所以一般Keepalived是实现前端高可用,常用的前端高可用的组合有,就是我们常见的LVS+Keepalived、Nginx+Keepalived、HAproxy+Keepalived。而Heartbeat或Corosync是实现服务的高可用,常见的组合有Heartbeat v3(Corosync)+Pacemaker+NFS+Httpd 实现Web服务器的高可用、Heartbeat v3(Corosync)+Pacemaker+NFS+MySQL 实现MySQL服务器的高可用。总结一下,Keepalived中实现轻量级的高可用,一般用于前端高可用,且不需要共享存储,一般常用于两个节点的高可用。而Heartbeat(或Corosync)一般用于服务的高可用,且需要共享存储,一般用于多节点的高可用。这个问题我们说明白了。
又有博友会问了,那heartbaet与corosync我们又应该选择哪个好啊,我想说我们一般用corosync,因为corosync的运行机制更优于heartbeat,就连从heartbeat分离出来的pacemaker都说在以后的开发当中更倾向于corosync,所以现在corosync+pacemaker是最佳组合。
1.2 Keepalived + nginx
keepalived可以认为是VRRP协议在Linux上的实现,主要有三个模块,分别是core、check和vrrp。core模块为keepalived的核心,负责主进程的启动、维护以及全局配置文件的加载和解析。check负责健康检查,包括常见的各种检查方式。vrrp模块是来实现VRRP协议的。本文基于如下的拓扑图:
+-------------+ |
2. keepalived实现nginx高可用
2.1安装文件准备
序号 |
名称 |
说明 |
1 |
e2fsprogs-1.41.12-22.el6.x86_64.rpm |
|
2 |
e2fsprogs-libs-1.41.12-22.el6.x86_64.rpm |
|
3 |
kernel-headers-2.6.32-642.13.1.el6.x86_64.rpm |
|
4 |
keyutils-libs-1.4-5.el6.x86_64.rpm |
|
5 |
keyutils-libs-devel-1.4-5.el6.x86_64.rpm |
|
6 |
krb5-devel-1.10.3-57.el6.x86_64.rpm |
|
7 |
krb5-libs-1.10.3-57.el6.x86_64.rpm |
|
8 |
libcom_err-1.41.12-22.el6.x86_64.rpm |
|
9 |
libcom_err-devel-1.41.12-22.el6.x86_64.rpm |
|
10 |
libnfnetlink-1.0.0-1.el6.x86_64.rpm |
|
11 |
libnfnetlink-devel-1.0.0-1.el6.x86_64.rpm |
|
12 |
libnl-1.1.4-2.el6.x86_64.rpm |
|
13 |
libnl-devel-1.1.4-2.el6.x86_64.rpm |
|
14 |
libselinux-2.0.94-7.el6.x86_64.rpm |
|
15 |
libselinux-devel-2.0.94-7.el6.x86_64.rpm |
|
16 |
libselinux-utils-2.0.94-7.el6.x86_64.rpm |
|
17 |
libsepol-devel-2.0.41-4.el6.x86_64.rpm |
|
18 |
libss-1.41.12-22.el6.x86_64.rpm |
|
19 |
openssl-1.0.1e-48.el6_8.1.x86_64.rpm |
|
20 |
openssl-devel-1.0.1e-48.el6_8.1.x86_64.rpm |
|
21 |
popt-devel-1.13-7.el6.x86_64.rpm |
|
22 |
zlib-devel-1.2.3-29.el6.x86_64.rpm |
|
23 |
kernel-devel-2.6.32-642.13.1.el6.x86_64.rpm |
|
24 |
kernel-headers-2.6.32-642.13.1.el6.x86_64.rpm |
|
25 |
libnl3-3.2.21-8.el6.x86_64.rpm |
|
26 |
libnl3-cli-3.2.21-8.el6.x86_64.rpm |
|
27 |
libnl3-devel-3.2.21-8.el6.x86_64.rpm |
|
28 |
libnl3-doc-3.2.21-8.el6.x86_64.rpm |
|
29 |
pkgconfig-0.23-9.1.el6.x86_64.rpm |
|
30 |
ipvsadm-1.29.tar.gz |
|
31 |
keepalived-1.2.24.tar.gz |
2.2安装rpm文件
1、将所有rpm文件放置到同意目录下,例如:/home/admin/setup/keepalived
2、rpm -ivh popt-devel-1.13-7.el6.x86_64.rpm
3、rpm -ivh libnl-devel-1.1.4-2.el6.x86_64.rpm
4、rpm -ivh openssl-devel-1.0.1e-48.el6_8.1.x86_64.rpm
如果安装中遇到问题,参考如下解决方案:
1、在安装rpm文件时,如果提示缺少依赖,请在rpm列表中寻找依赖包,并使用rpm -ivh *.rpm *.rpm *.rpm来同时安装要安装的rpm包和依赖包;
2、在安装rpm文件时,如果提示当前系统中已存在版本低于待安装包的rpm包,请使用rpm --upgrade *.rpm或rpm -U *.rpm来更新rpm包;
3、在安装rpm文件时,如果提示当前系统中已存在版本高于待安装包的rpm包,请使用rpm -e *.rpm命令卸载高版本rpm包后,然后安装待安装的低版本rpm包;如果提示存在依赖关系无法卸载高版本rpm包,请使用rpm -e --nodeps *.rpm强制卸载。
2.3安装ipvsadm
作为Keepalive依赖。
1、tar -zxvf ipvsadm-1.29.tar.gz
2、cd ipvsadm-1.29
3、make
4、make install
5、验证
Ipvsadm
#检查当前加载的内核模块,看是否存在 ip_vs 模块。
lsmod|grep ip_vs
注 1、只有执行 ipvsadm 以后,才会在内核加载 ip_vs 模块。
注 2、不能以查进程的方式判断 ipvs 是否运行。
2.4安装keepalived
1、rpm -ivh libnfnetlink-1.0.0-1.el6.x86_64.rpm libnfnetlink-devel-1.0.0-1.el6.x86_64.rpm
2、tar -zxvf keepalived-1.2.24.tar.gz
3、cd keepalived-1.2.24
4、./configure --with-kernel-dir=/usr/src/kernels/2.6.32-642.13.1.el6.x86_64
5、make
6、make install
7、cp /usr/local/etc/rc.d/init.d/keepalived /etc/rc.d/init.d/
8、cp /usr/local/etc/sysconfig/keepalived /etc/sysconfig/
9、mkdir /etc/keepalived
10、cp /usr/local/etc/keepalived/keepalived.conf /etc/keepalived/
把keepalived.conf复制到/etc/keepalived/文件夹下,以后只操作/etc/keepalived/下的配置文件,而不是安装路径下的
11、cp /usr/local/sbin/keepalived /usr/sbin/
12、chkconfig keepalived on
13、chmod 755 /etc/init.d/keepalived
2.4keepalived命令
启动:service keepalived start 停止:service keepalived stop 重启:service keepalived restart 查看日志:tail -f /var/log/messages (默认的日志放在系统日志:/var/log/messages下)
2.5配置keepalived
1. keepalived.conf配置
! Configuration File for keepalived global_defs {
router_id LVS_AUDAQUE
vrrp_mcast_group4 224.0.0.21
vrrp_skip_check_adv_addr
vrrp_strict
vrrp_garp_interval 0
vrrp_gna_interval 0
} vrrp_script chk_nginx {
script "/etc/keepalived/nginx-exists.sh"
interval 2
weight -2
} vrrp_instance instance_23 {
state BACKUP
interface eth0
virtual_router_id 61
mcast_src_ip 172.16.88.224
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass 111111
}
virtual_ipaddress {
172.29.88.222
}
track_script {
chk_nginx
}
}
在其它备机BACKUP上,只需要改变 state MASTER
-> state BACKUP
,priority 101
-> priority 100
,mcast_src_ip 172.29.88.224
-> mcast_src_ip 172.29.88.225
即可。
2. 准备nginx测试脚本
#!/bin/bash
if [ "$(ps -ef | grep "nginx: master process"| grep -v grep )" == "" ]
then
/home/NGINX/nginx/sbin/nginx
sleep 5
if [ "$(ps -ef | grep "nginx: master process"| grep -v grep )" == "" ]
then
killall keepalived
fi
fi
你也可以根据自己的业务需求,总结出在什么情形下关闭keepalived,比如:检测ngnix的运行状态,并在nginx进程不存在时尝试重新启动ngnix,如果启动失败则停止keepalived,准备让其它机器接管。
#!/bin/bash
counter=$(ps -C nginx --no-heading|wc -l)
if [ "${counter}" = "" ]; then
/usr/local/bin/nginx
sleep 2
counter=$(ps -C nginx --no-heading|wc -l)
if [ "${counter}" = "" ]; then
/etc/init.d/keepalived stop
fi
fi
或者,curl 主页连续2个5s没有响应则切换:
#!/bin/bash
# curl -IL http://localhost/member/login.htm
# curl --data "memberName=fengkan&password=22" http://localhost/member/login.htm count = 0
for (( k=0; k<2; k++ ))
do
check_code=$( curl --connect-timeout 3 -sL -w "%{http_code}\\n" http://localhost/login.html -o /dev/null )
if [ "$check_code" != "" ]; then
count = count +1
continue
else
count = 0
break
fi
done
if [ "$count" != "" ]; then
# /etc/init.d/keepalived stop
exit 1
else
exit 0
fi
如果,nginx已经断开,但是keepalived没有重启,可能是nginx健康脚本的权限问题,使用如下命令:
查看文件权限的语句:
ls -l xxx.xxx (xxx.xxx是文件名)
那么就会出现相类似的信息,主要都是这些:
-rw-rw-r-- 一共有10位数
其中: 最前面那个 - 代表的是类型
中间那三个 rw- 代表的是所有者(user)
然后那三个 rw- 代表的是组群(group)
最后那三个 r-- 代表的是其他人(other) 然后我再解释一下后面那9位数:
r 表示文件可以被读(read)
w 表示文件可以被写(write)
x 表示文件可以被执行(如果它是程序的话)
- 表示相应的权限还没有被授予 文件权限的修改:
chmod o+w xxx.xxx
表示给其他人授予写xxx.xxx这个文件的权限 chmod go-rw xxx.xxx
表示删除xxx.xxx中组群和其他人的读和写的权限 其中:
u 代表所有者(user)
g 代表所有者所在的组群(group)
o 代表其他人,但不是u和g (other)
a 代表全部的人,也就是包括u,g和o r 表示文件可以被读(read)
w 表示文件可以被写(write)
x 表示文件可以被执行(如果它是程序的话) 其中:rwx也可以用数字来代替
r ------------4
w -----------2
x ------------1
- ------------0 行动:
+ 表示添加权限
- 表示删除权限
= 表示使之成为唯一的权限 当大家都明白了上面的东西之后,那么我们常见的以下的一些权限就很容易都明白了: -rw------- (600) 只有所有者才有读和写的权限
-rw-r--r-- (644) 只有所有者才有读和写的权限,组群和其他人只有读的权限
-rwx------ (700) 只有所有者才有读,写,执行的权限
-rwxr-xr-x (755) 只有所有者才有读,写,执行的权限,组群和其他人只有读和执行的权限
-rwx--x--x (711) 只有所有者才有读,写,执行的权限,组群和其他人只有执行的权限
-rw-rw-rw- (666) 每个人都有读写的权限
-rwxrwxrwx (777) 每个人都有读写和执行的权限
2.6 配置选项说明
global_defs
notification_email
: keepalived在发生诸如切换操作时需要发送email通知地址,后面的 smtp_server 相比也都知道是邮件服务器地址。也可以通过其它方式报警,毕竟邮件不是实时通知的。router_id
: 机器标识,通常可设为hostname。故障发生时,邮件通知会用到
vrrp_instance
state
: 指定instance(Initial)的初始状态,就是说在配置好后,这台服务器的初始状态就是这里指定的,但这里指定的不算,还是得要通过竞选通过优先级来确定。如果这里设置为MASTER,但如若他的优先级不及另外一台,那么这台在发送通告时,会发送自己的优先级,另外一台发现优先级不如自己的高,那么他会就回抢占为MASTERinterface
: 实例绑定的网卡,因为在配置虚拟IP的时候必须是在已有的网卡上添加的mcast_src_ip
: 发送多播数据包时的源IP地址,这里注意了,这里实际上就是在那个地址上发送VRRP通告,这个非常重要,一定要选择稳定的网卡端口来发送,这里相当于heartbeat的心跳端口,如果没有设置那么就用默认的绑定的网卡的IP,也就是interface指定的IP地址virtual_router_id
: 这里设置VRID,这里非常重要,相同的VRID为一个组,他将决定多播的MAC地址priority
: 设置本节点的优先级,优先级高的为masteradvert_int
: 检查间隔,默认为1秒。这就是VRRP的定时器,MASTER每隔这样一个时间间隔,就会发送一个advertisement报文以通知组内其他路由器自己工作正常authentication
: 定义认证方式和密码,主从必须一样virtual_ipaddress
: 这里设置的就是VIP,也就是虚拟IP地址,他随着state的变化而增加删除,当state为master的时候就添加,当state为backup的时候删除,这里主要是有优先级来决定的,和state设置的值没有多大关系,这里可以设置多个IP地址track_script
: 引用VRRP脚本,即在 vrrp_script 部分指定的名字。定期运行它们来改变优先级,并最终引发主备切换。
vrrp_script
告诉 keepalived 在什么情况下切换,所以尤为重要。可以有多个 vrrp_script
script
:
自己写的检测脚本。也可以是一行命令如killall -0 nginx
interval
: 每2s检测一次
2weight -5
:
检测失败(脚本返回非0)则优先级 -5fall 2
:
检测连续 2 次失败才算确定是真失败。会用weight减少优先级(1-255之间)rise 1
:
检测 1 次成功就算成功。但不修改优先级
这里要提示一下script一般有2种写法:
- 通过脚本执行的返回结果,改变优先级,keepalived继续发送通告消息,backup比较优先级再决定
- 脚本里面检测到异常,直接关闭keepalived进程,backup机器接收不到advertisement会抢占IP
上文 vrrp_script 配置部分,killall -0 nginx
属于第1种情况,/etc/keepalived/check_nginx.sh
属于第2种情况(脚本中关闭keepalived)。个人更倾向于通过shell脚本判断,但有异常时exit
1,正常退出exit 0,然后keepalived根据动态调整的 vrrp_instance 优先级选举决定是否抢占VIP:
- 如果脚本执行结果为0,并且weight配置的值大于0,则优先级相应的增加
- 如果脚本执行结果非0,并且weight配置的值小于0,则优先级相应的减少
其他情况,原本配置的优先级不变,即配置文件中priority对应的值。
提示:
- 优先级不会不断的提高或者降低
- 可以编写多个检测脚本并为每个检测脚本设置不同的weight(在配置中列出就行)
- 不管提高优先级还是降低优先级,最终优先级的范围是在[1,254],不会出现优先级小于等于0或者优先级大于等于255的情况
- 在MASTER节点的 vrrp_instance 中 配置
nopreempt
,当它异常恢复后,即使它
prio 更高也不会抢占,这样可以避免正常情况下做无谓的切换
以上可以做到利用脚本检测业务进程的状态,并动态调整优先级从而实现主备切换。
配置结束
在默认的keepalive.conf里面还有 virtual_server,real_server 这样的配置,我们这用不到,它是为lvs准备的。 notify
可以定义在切换成MASTER或BACKUP时执行的脚本,如有需求请自行google。
2.7 nginx配置
当然nginx没有什么可配置的,因为它与keepalived并没有联系。但记住,2台nginx服务器上的配置应该是完全一样的(rsync同步),这样才能做到对用户透明,nginx.conf 里面的 server_name
尽量使用域名来代替,然后dns解析这个域名到虚拟IP 172.29.88.222。
3. 测试
根据上面的配置,初始化状态:172.29.88.224 (itoatest1,MASTER,101),172.29.88.222(itoatest2,BACKUP,100),nginx和keepalived都启动,虚拟IP 172.29.88.222 在 itoatest1 上:
1 |
# 使用ip命令配置的地址,ifconfig查看不了 |
浏览器访问 172.29.88.222 或域名,OK。
直接关闭 itoatest1 上的nginx:/usr/local/nginx-1.6/sbin/nginx -s stop
:
1 |
[root@localhost keepalived]# ip a|grep eth0 |
vip消失,漂移到 itoatest2:
同时可以看到两台服务器上 /var/log/messages
:
1 |
## itoatest1 |
你也可以通过在两台服务器上抓包来查看 优先级priority 的变化:
1 |
## itoatest1 上 |
keepalived + nginx实现高可用的更多相关文章
- Keepalived+Nginx实现高可用Web负载均衡
1.安装编译 Nginx 所需的依赖包# yum install gcc gcc-c++ make automake autoconf libtool pcre pcre-devel zlib zli ...
- Keepalived+Nginx实现高可用(HA)
Keepalived+Nginx实现高可用(HA) service iptables stopchkconfig iptables offsetenforce 0/etc/selinux/config ...
- Dubbo入门到精通学习笔记(十六):Keepalived+Nginx实现高可用Web负载均衡
文章目录 Keepalived+Nginx实现高可用Web负载均衡 Keepalived+Nginx实现高可用Web负载均衡 高可用架构篇 Keepalived + Nginx 实现高可用 Web 负 ...
- Keepalived + Nginx 实现高可用 Web 负载均衡
一.Keepalived 简要介绍 Keepalived 是一种高性能的服务器高可用或热备解决方案, Keepalived 可以用来防止服务器单点故障的发生,通过配合 Nginx 可以实现 web 前 ...
- [转]搭建Keepalived+Nginx+Tomcat高可用负载均衡架构
[原文]https://www.toutiao.com/i6591714650205716996/ 一.概述 初期的互联网企业由于业务量较小,所以一般单机部署,实现单点访问即可满足业务的需求,这也是最 ...
- KeepAlived+Nginx实现高可用负载
一.环境及安装版本: centos6.5.Nginx1.4.7.keepalived1.3.2 虚拟IP 真是IP Nginx端口 主从分配 10.0.90.215 10.0.90.217 80 MA ...
- Keepalived+Nginx实现高可用负载均衡集群
一 环境介绍 1.操作系统CentOS Linux release 7.2.1511 (Core) 2.服务keepalived+nginx双主高可用负载均衡集群及LAMP应用keepalived-1 ...
- Linux巩固记录(9) keepalived+nginx搭建高可用负载分发环境
环境准备(继续服用hadoop节点) slave1 192.168.2.201(CentOs 7) slave2 192.168.2.202(CentOs 7) slave1 和 slave2 上 ...
- Keepalived+Nginx实现高可用和双主节点负载均衡
简介 Nginx可以实现高并发反向代理,lvs集群可以实现负载均衡,但是他们都有一个共同的弊端,就是Nginx,lvs架构中Director是单点故障,有没有一个好的方案解决这个问题呢?答案是有.通过 ...
随机推荐
- 在iOS中使用ZBar扫描二维码
最近在做的项目中需要用到二维码扫描功能,之前在Android中使用过ZXing识别二维码,ZXing也有对应的iOS版本,经过了解,ZBar也是一个常用的二维码识别软件,并分别提供了iOS和Andro ...
- Python学习-字典练习:简单通讯录
功能要求: 查询联系人,输入姓名,可以查询当前通讯录里面的联系人信息,若联系人存在,则输出联系人信息,若不存在,则告知 插入联系人,可以向通讯录中新建联系人,若联系人已经存在,则询问是否修改联系人信息 ...
- callback回调函数-python
链接:http://www.zhihu.com/question/19801131/answer/27459821来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 编程分 ...
- BZOJ4547 Hdu5171 小奇的集合
题意 有一个大小为n的可重集S,小奇每次操作可以加入一个数a+b(a,b均属于S),求k次操作后它可获得的S的和的最大值.(数据保证这个值为非负数) 对于100%的数据,有 n<=10^5,k& ...
- __getitem__ 专用方法
(1) __getitem__ 专用方法很简单.像普通的方法 clear,keys 和 values 一样,它只是重定向到字典,返回字典的值.但是怎么调用它呢?哦,你可以直接调用 __getitem ...
- openssl 查看证书细节
打印证书的过期时间 openssl x509 -in signed.crt -noout -dates 打印出证书的内容: openssl x509 -in cert.pem -noout -text ...
- 使用gopherjs 进行web 应用开发
1. 安装 go get -u github.com/gopherjs/gopherjs 2. 基本代码使用 备注: 这个只是一个简单的demo,进行pi 运算,结果还真是快 a. code gola ...
- php mysql apache 的字符集
在使用中常常遇到utf-8和utf8,现在终于弄明白他们的使用不同之处了,现在来和大家分享一下,下面我们看一下utf8 和 UTF-8 有什么区别 “UTF-8”是标准写法,php在Windows下边 ...
- Linux VPS上DenyHosts阻止SSH暴力攻击
2009年07月23日 下午 | 作者:VPS侦探 现在的互联网非常不安全,很多人没事就拿一些扫描机扫描ssh端口,然后试图连接ssh端口进行暴力破解(穷举扫描),所以建议vps主机的空间,尽量设置复 ...
- linux误删数据恢复
linux下数据恢复工具有: 1.通过分析文件系统的日志,解析文件的inode,可以恢复ex3 ex4的文件系统下的数据 extundelete:扫描inode和恢复数据同时进行,因此恢复速度很快.支 ...