架构师之路（一）Nginx系列之高可用

1、keepalived如何实现高可用?

keepalived是通过vrrp来实现的高可用.   vrrp,虚拟路由冗余协议

2、vrrp诞生的过程以及vrrp的原理?

传统结构 因为arp缓存， 不能自动切换网关设备；

使用vrrp 协议，先找vip ，vip 绑定到master上，当master坏掉， 自动切换到backup上，同时vip通知pc端，arp 发生变化。

backup 交换机会立即发送携带虚拟路由器的虚拟 MAC 地址和虚拟 IP 地址信息的免费ARP 报文，刷新与它连接的主机或设备中的 MAC 表项，从而把用户流量引到新的Master 交换机上来，整个过程对用户完全透明。

3、keepalived高可用核心概念总结

4、keepalived高可用安装与配置

yum install keepalived -y
rpm -qc keepalive   # 查看配置文件路径 
[root@lb01 ~]# cat /etc/keepalived/keepalived.conf
global_defs {     
    router_id lb01       # 一个班里，不同的人
}


vrrp_instance VI_1 {
    state MASTER
    priority 150
    interface eth0
    virtual_router_id 50
    advert_int 1      # 心跳间隔时间
    authentication {
        auth_type PASS
        auth_pass 1111    # 发送心跳时候密码
}
    virtual_ipaddress {
        10.0.0.99
    }
}


#lb02配置如下
global_defs {
    router_id lb02          # 同一个班里，不同的人
}


vrrp_instance VI_1 {
    state BACKUP
    priority 100
    interface eth0
    virtual_router_id 50  # 这里必须一样
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        10.0.0.99
    }
}


## 启动
systemctl start keepalived

## 测试

刚开始 vmac等于主节点eth0 的mac，主节点down后，vmac等于backup上的eth0 的 mac地址。

5、抢占与非抢占式

#Master
    vrrp_instance VI_1 {
        state BACKUP
        priority 150
        nopreempt      # 不抢占
    }


#Backup
    vrrp_instance VI_1 {
        state BACKUP
        priority 100
        nopreempt
    }

6、nginx 和 keepalive 集成

PS:  有Nginx负载均衡,并不一定必须要装Keepalived；

云上不支持组播，不支持vrrp协议，只能用slb等服务来实现；

Nginx负载均衡实现高可用,只是需要借助Keepalived实现地址漂移功能；

比如:第一次 keepalived绑定在Master上, 通过vip地址访问到这台master上的所有服务，因为所有的服务都是 listen port;

7、keepalived高可用脑裂与故障解决

如果Nginx宕机, 会导致用户请求失败, 但Keepalived并不会进行地址漂移

所以需要编写一个脚本检测Nginx的存活状态, 如果不存活则kill nginx和keepalived

[root@lb01 ~]# cat  /server/scripts/check_www.sh
#!/bin/sh
nginxpid=$(ps -C nginx --no-header|wc -l)
#1.判断Nginx是否存活,如果不存活则尝试启动Nginx
if [ $nginxpid -eq 0 ];then
    systemctl start nginx
    sleep 3
    #2.等待3秒后再次获取一次Nginx状态
    nginxpid=$(ps -C nginx --no-header|wc -l) 
    #3.再次进行判断, 如Nginx还不存活则停止Keepalived,让地址进行漂移,并退出脚本  
    if [ $nginxpid -eq 0 ];then
        systemctl stop keepalived
   fi
fi
[root@lb01 ~]# chmod +x /server/scripts/check_www.sh

# 在keepalived 配置文件中调用脚本
# 负载均衡两台机器上都要配置，检查自己d的nginx 服务，出现问题，就关闭keepalived，切换vip
[root@lb01 ~]# cat /etc/keepalived/keepalived.conf
global_defs {     
    router_id lb01   
}


#定义脚本所在的位置,以及执行时间
vrrp_script  check_www {
  script "/server/scripts/check_www.sh"
  interval 5   # 间隔时间要大于脚本执行时间
}


vrrp_instance VI_1 {
    state BACKUP
    priority 150
    nopreempt
    interface eth0
    virtual_router_id 50
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
}
    virtual_ipaddress {
        10.0.0.3
    }


  #调用脚本
    track_script {
        check_www
    }
}

8、补充安全知识介绍

* 硬件层面         机柜上锁  UPS  温度

* 系统层面        系统漏洞 (内核升级  打补丁)   弱口令  调整ssh端口  不要公网IP

* 网站层面      DDOS   网站被注入病毒  ....

*  如何登陆     路由端口映射(少量) openvpn直接内接内部服务器 (大量) ,再连接堡垒机