1、keepalived如何实现高可用?
keepalived是通过vrrp来实现的高可用. vrrp,虚拟路由冗余协议
2、vrrp诞生的过程以及vrrp的原理?
传统结构 因为arp缓存, 不能自动切换网关设备;
使用vrrp 协议,先找vip ,vip 绑定到master上,当master坏掉, 自动切换到backup上,同时vip通知pc端,arp 发生变化。
backup 交换机会立即发送携带虚拟路由器的虚拟 MAC 地址和虚拟 IP 地址信息的免费ARP 报文,刷新与它连接的主机或设备中的 MAC 表项,从而把用户流量引到新的Master 交换机上来,整个过程对用户完全透明。
3、keepalived高可用核心概念总结
4、keepalived高可用安装与配置
yum install keepalived -y
rpm -qc keepalive # 查看配置文件路径
[root@lb01 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
router_id lb01 # 一个班里,不同的人
}
vrrp_instance VI_1 {
state MASTER
priority 150
interface eth0
virtual_router_id 50
advert_int 1 # 心跳间隔时间
authentication {
auth_type PASS
auth_pass 1111 # 发送心跳时候密码
}
virtual_ipaddress {
10.0.0.99
}
}
#lb02配置如下
global_defs {
router_id lb02 # 同一个班里,不同的人
}
vrrp_instance VI_1 {
state BACKUP
priority 100
interface eth0
virtual_router_id 50 # 这里必须一样
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
10.0.0.99
}
}
## 启动
systemctl start keepalived
## 测试
刚开始 vmac等于主节点eth0 的mac,主节点down后,vmac等于backup上的eth0 的 mac地址。
5、抢占与非抢占式
#Master
vrrp_instance VI_1 {
state BACKUP
priority 150
nopreempt # 不抢占
}
#Backup
vrrp_instance VI_1 {
state BACKUP
priority 100
nopreempt
}
6、nginx 和 keepalive 集成
PS: 有Nginx负载均衡,并不一定必须要装Keepalived;
云上不支持组播,不支持vrrp协议,只能用slb等服务来实现;
Nginx负载均衡实现高可用,只是需要借助Keepalived实现地址漂移功能;
比如:第一次 keepalived绑定在Master上, 通过vip地址访问到这台master上的所有服务,因为所有的服务都是 listen port;
7、keepalived高可用脑裂与故障解决
如果Nginx宕机, 会导致用户请求失败, 但Keepalived并不会进行地址漂移
所以需要编写一个脚本检测Nginx的存活状态, 如果不存活则kill nginx和keepalived
[root@lb01 ~]# cat /server/scripts/check_www.sh
#!/bin/sh
nginxpid=$(ps -C nginx --no-header|wc -l)
#1.判断Nginx是否存活,如果不存活则尝试启动Nginx
if [ $nginxpid -eq 0 ];then
systemctl start nginx
sleep 3
#2.等待3秒后再次获取一次Nginx状态
nginxpid=$(ps -C nginx --no-header|wc -l)
#3.再次进行判断, 如Nginx还不存活则停止Keepalived,让地址进行漂移,并退出脚本
if [ $nginxpid -eq 0 ];then
systemctl stop keepalived
fi
fi
[root@lb01 ~]# chmod +x /server/scripts/check_www.sh
# 在keepalived 配置文件中调用脚本
# 负载均衡两台机器上都要配置,检查自己d的nginx 服务,出现问题,就关闭keepalived,切换vip
[root@lb01 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
router_id lb01
}
#定义脚本所在的位置,以及执行时间
vrrp_script check_www {
script "/server/scripts/check_www.sh"
interval 5 # 间隔时间要大于脚本执行时间
}
vrrp_instance VI_1 {
state BACKUP
priority 150
nopreempt
interface eth0
virtual_router_id 50
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
10.0.0.3
}
#调用脚本
track_script {
check_www
}
}
8、补充安全知识介绍
* 硬件层面 机柜上锁 UPS 温度
* 系统层面 系统漏洞 (内核升级 打补丁) 弱口令 调整ssh端口 不要公网IP
* 网站层面 DDOS 网站被注入病毒 ....
* 如何登陆 路由端口映射(少量) openvpn直接内接内部服务器 (大量) ,再连接堡垒机