keepalived基础

keepalived的原理是根据vrrp协议（主备模式）去设定的

vrrp技术相关原理

状态机； 

优先级0~255 心跳线1秒

 vrrp工作模式 

双主双备模式

VRRP负载分担过程

vrrp安全认证：使用共享密匙 

 keepalived工具介绍

keepalived是专门为LVS和HA（高可用主备模式）设计的一款健康行检查工具

举例说明：当有两台lvs服务器工作时，出现故障，而lvs本身又无法健康性检查，所以借助keepalived工具

当主服务器出现故障，此时备服务器顶上，当主服务器恢复时，有三种模式

1.抢占模式（当主恢复好时，立马切换到这）

2.不抢占模式（当主恢复好时，依然在备服务器上运行）

3.延迟抢占（当主恢复好时，多少秒从备切换到主上）

 keepalived架构

 keepalived相关文件

• 软件包名：keepalived

• 主程序文件：/usr/sbin/keepalived

• 主配置文件：/etc/keepalived/keepalived.conf

• 配置文件示例：/usr/share/doc/keepalived/

• Unit File：/lib/systemd/system/keepalived.service

• Unit File的环境配置文件：

• /etc/sysconfig/keepalived CentOS

主配置文件详解： 

/etc/keepalived/keepalived.conf 
global_defs {notification_email {root@localhost#keepalived 发生故障切换时邮件发送的目标邮箱，可以按行区分写多个root@localhost360601212@qq.com }notification_email_from keepalived@localhost  #发邮件的地址smtp_server 127.0.0.1     #邮件服务器地址smtp_connect_timeout 30   #邮件服务器连接timeoutrouter_id R1#每个keepalived主机唯一标识，建议使用当前主机名，但多节点重名不影响vrrp_skip_check_adv_addr  #对所有通告报文都检查，会比较消耗性能，启用此配置后，如果收到的通告报文和上一个报文是同一个路由器，则跳过检查，默认值为全检查
vrrp_strict 
#严格遵守VRRP协议,启用此项后以下状况将无法启动服务:1.无VIP地址 2.配置了单播邻居 3.在VRRP版本2中有IPv6地址，开启动此项并且没有配置vrrp_iptables时会自动开启iptables防火墙规则，默认导致VIP无法访问,建议不加此项配置。vrrp_garp_interval 0 #gratuitous ARP messages 免费ARP报文发送延迟，0表示不延迟vrrp_gna_interval 0 #unsolicited NA messages （不请自来）消息发送延迟vrrp_mcast_group4 224.0.0.18 #指定组播IP地址范围：224.0.0.0到239.255.255.255,默认值：224.0.0.18 vrrp_iptables        #此项和vrrp_strict同时开启时，则不会添加防火墙规则,如果无配置vrrp_strict项,则无需启用此项配置
}

 切记：在修改配置文件的时候，记得备份，以防万一出错

配置文件讲解

简要来说，全局配置只需要改三处

1.自己的ip  2.路由id名字 3.严格模式关闭

 给lvs调度器设置：

state MASTER|BACKUP
#当前节点在此虚拟路由器上的初始状态，状态为MASTER或者BACKUP
interface IFACE_NAME 
#绑定为当前虚拟路由器使用的物理接口，如：eth0,bond0,br0,可以和VIP不在一个网卡
virtual_router_id VRID 
#每个虚拟路由器惟一标识，范围：0-255，每个虚拟路由器此值必须唯一，否则服务无法启动，同属一个虚拟路由器的多个keepalived节点必须相同,务必要确认在同一网络中此值必须唯一
priority 100 
#当前物理节点在此虚拟路由器的优先级，范围：1-254，值越大优先级越高,每个keepalived主机节点此值不同advert_int 1
#vrrp通告的时间间隔，默认1sauthentication { 
#认证机制auth_type AH|PASS   #AH为IPSEC认证(不推荐),PASS为简单密码(建议使用)auth_pass <PASSWORD> #预共享密钥，仅前8位有效，同一个虚拟路由器的多个keepalived节点必须一样
}
include    /etc/keealived/conf.d/*.conf
virtual_ipaddress { 
#虚拟IP,生产环境可能指定上百个IP地址<IPADDR>/<MASK> brd <IPADDR> dev <STRING> scope <SCOPE> label <LABEL>192.168.200.100 #指定VIP，不指定网卡，默认为,注意：不指定/prefix,默认为/32192.168.200.101/24 dev eth1   #指定VIP的网卡，建议和interface指令指定的岗卡不在一个网卡192.168.200.102/24 dev eth2 label eth2:1 #指定VIP的网卡label 
}
track_interface { 
#配置监控网络接口，一旦出现故障，则转为FAULT状态实现地址转移eth0eth1…
}

如果当项目中，有很多的虚拟ip，则建立子配置文件

虚拟服务器端的具体配置：

  delay_loop 6#健康间隔时间6秒lb_algo rr#调度算法轮询lb_kind DR#lvs模式为DR persistence_timeout 0#连接保持时间改为0 否则 无法体现效果protocol TCP#采用协议

 真实服务器端配置：

   weight 1#45行删除#节点权重TCP_CHECK{connect_port 80#检查目标端口connect_timeout 3#连接超时 nb_get_retry 3#重试次数delay_before_retry 3#重试间隔时间}}

解释说明：检查80端口，相当于keepalived 用curl这个命令访问真是服务器的80端口，如果80端口能访问，代表活着，如果80端口检查失败，则下线，不会自动调度过去。

超时时间3秒，如果3秒不回应，则代表此真是服务器挂掉

重试次数3次，去访问80端口，3次以上，如果不回复，则认为此服务器挂掉

实验操作

 

第一步，四台服务器全部关闭防火墙，关闭防护

 

主lvs调度服务器：

先下载lvs keepalived

 第二步切换到主配置文件，然后备份

 第三步 修改主配置文件

 随后，ipvsadm -ln 查看一下规则  虚拟ip 跟真实ip都在里面

 备LVS服务器配置

第一步 下载ipvsadm keepalived

然后进入到主lvs（centos1）服务器将配置文件直接复制到备服务器里面，省的重新写配置文件了 

 然后再进入到备服务器，将data里面的keepalived配置文件移动到自己keepalived的配置文件中

 然后再keepalived配置文件中修改里面的备模式  路由id名  优先级即可

 修改过配置文件，然后重启

然后开启ipvsadm

 

 centos3 真实服务器配置（httpd）

 加入虚拟ip  是因为DR模式，lvs服务器跟真实服务器要用相同的虚拟ip地址，真实服务器回给客户端才不会有冲突，并且要将路由转发给关了，当配置相同的虚拟ip时，客户端访问，lvs服务器跟真是服务器会同时响应，但是客户端应到lvs服务器，所以要将真实服务器的路由转发功能给关闭

ifconfig lo:0 192.168.68.188 netmask 255.255.255.255

关闭路由转发

然后给网页写入内容

 

 然后关闭长连接

centos4真是服务器配置

然后配置虚拟ip 并且关闭路由转发

ifconfig lo:0 192.168.68.188 netmask 255.255.255.255

然后关闭长连接（是为了更好的出现7-3 到7-4的转换）

然后客服端去访问虚拟服务器

 现在模拟，当主lvs关闭keepalived服务时，7-3 7-4页面是否会出来

客户端访问时，还是会出现7-3 7-4 是因为lvs直接到备服务器上面了

 打开备服务器，虚拟ip跑到备服务器上面了，所以还是会正常运行

我们keepalived默认是抢占模式，可以看一下，再次打开主keepalived服务器，然后看虚拟ip

非抢占模式：

 操作如下：

主lvs服务器 

 nopreempt

然后重启

 备服务器配置：

随后，关闭主服务器，查看虚拟机ip，可以看见开启非抢占模式，主服务器关闭之后重启 虚拟ip不会回到主服务器上

而是当主服务器关闭，切换到备服务器上，就一直在备服务器上了  可以查看备服务器

延迟抢占

 

preempt_delay 60 

 主服务器配置

 备服务器配置

然后模拟主服务器关闭

 

密码是明文传输的，可以通过抓包看见

组播地址

 vrrp默认的单播地址是224.0.0.18

如果要修改组播地址，主备服务器都要修改 加在严格模式下方

vrrp_mcast_group4 234.6.6.6（这地址自定义）范围224~239

 主备的修改是一样的  都是backup

 随后，保存，然后重启

在备服务器上抓包

修改单播地址

 unicast_src_ip 192.168.68.3unicast_peer{192.168.68.4}

 主服务器配置

备服务器配置

随后在备服务器上抓包 单播修改成功

通知脚本 

#!/bin/bash
#
contact='940132245@qq.com'
notify() {mailsubject="$(hostname) to be $1, vip floating"mailbody="$(date +'%F %T'): vrrp transition, $(hostname) changed to be $1"echo "$mailbody" | mail -s "$mailsubject" $contact
}
case $1 in
master)notify master;;
backup)notify backup;;
fault)notify fault;;
*)echo "Usage: $(basename $0) {master|backup|fault}"exit 1;;
esac

 在主服务器上面配置

写一个脚本 keepalive.sh

 

随后，给这个脚本文件加上权限

 随后，修改主配置文件

 notify_master "/opt/keepalive.sh master"notify_backup "/opt/keepalive.sh backup"notify_fault "/opt/keepalive.sh fault"

随后，保存重启

 

 然后模拟master故障

随后，打开自己的qq邮箱，会发一个邮件过来

日志功能 

 随后，在日志文件中添加6级别

 因为修改了keepalived 跟rsyslog 所以都要重新加载

因为把keepalived日志放在了data下面 可以查看一下

 查看一下日志

重点！ 脑裂

脑裂的意思就是，当主服务器没有故障时，备服务器认为自己是主，虚拟ip188会出现在主备上面 

 怎么模拟脑裂？------>在备服务器上模拟屏蔽掉主服务器所有的报文，包括屏蔽vrrp协议

 在备lvs服务器上面屏蔽掉主服务器的所有流量，包括vrrp报文

然后在主备上面ip a  都能看见虚拟机

使用其他应用的高可用性 vrrp script 

当有两台nginx代理服务器，nginx是无法处理自身单点故障的，可以通过keepalived来实现，如果一台nginx代理服务器出故障，直接跳到另外一台nginx代理服务器上

keepalived利用脚本去解决nginx的高并发

 定义vrrp script

 实验操作

 主 备nginx服务器 都要下载nginx 跟keepalived

主备服务器相同操作：

 

 然后开启nginx

 主服务器配置修改：

 

然后重启

 随后，写一个脚本，能够让keepalived运行nginx的脚本，并且给这个脚本执行的权限

脚本里面的内容

 

随后，修改keepalived配置文件里面的内容

 将virtual以下的内容删除，因为不需要

第二步，在全部配置下面写入脚本，切记！！一定是在全局配置里面写入脚本

 

随后，在virtual里面去执行脚本

 保存，之后重新加载

 将主服务器上面的配置文件复制到备服务器上nginx配置文件中

将主服务器上面的keepalived配置文件复制到备服务器上 

 备服务器上配置

随后nginx配置文件拷过来之后，重启一下

 然后进入主页访问虚拟地址192.168.68.188 会出现7-3 7-4

 

现在模拟主nginx服务器停止出现故障

然后进入主页访问虚拟ip，还是会出现7-3 7-4 因为主nginx坏掉，是直接跳到备nginx上了