Centos7-Lvs+Keepalived架构
LVS+Keepalived
介绍
1 、 LVS
LVS 是一个开源的软件,可以实现 LINUX 平台下的简单负载均衡。 LVS 是 Linux Virtual Server 的缩写,意思是 Linux 虚拟服务器。目前有三种 IP 负 载均衡技术( VS/NAT 、 VS/TUN 和 VS/DR );八种调度算法( rr,wrr,lc,wlc,lblc,lblcr,dh,sh )。
2 、 keepalived
Keepalived 是运行在 lvs 之上,是一个用于做双机热备( HA )的软件,它的主要功能是实现真实机的故障隔离及负载均衡器间的失败切换,提高系统的可用性。
运行原理
keepalived 通过选举(看服务器设置的权重)挑选出一台热备服务器做 MASTER 机器, MASTER 机器会被分配到一个指定的虚拟 ip ,外部程序可通过该 ip 访问这台服务器,如果这台服务器出现故障(断网,重启,或者本机器上的 keepalived crash 等), keepalived 会从其他的备份机器上重选(还是看服务器设置的权重)一台机器做 MASTER 并分配同样的虚拟 IP ,充当前一台 MASTER 的角色。
选举策略
选举策略是根据 VRRP 协议 ,完全按照权重大小,权重最大( 0 ~ 255 )的是 MASTER 机器,下面几种情况会触发选举。
1. keepalived 启动的时候;
2. master 服务器出现故障(断网,重启,或者本机器上的 keepalived crash 等,而本机器上其他应用程序 crash 不算);
3. 有新的备份服务器加入且权重最大。
配置实例
lvs_vip : 172.16.10.188
lvs1+keepalived 主: 172.16.10.102
lvs2+keepalived 备: 172.16.10.142
nginx1 : 172.16.10.162
nginx2 : 172.16.10.167
安装 ipvsadm 和 keepalived
# yum -y install ipvsadm keepalived
修改 keepalived 主的配置
# vim/etc/keepalived/keepalived.conf
global_defs{
notification_email{
******@163.com #报警接收人,多个写多行
}
notification_email_from ******@163.com #报警发件人
smtp_server smtp.163.com #发送email时使用的smtp服务器地址
smtp_connect_timeout 30 #smtp超时时间
router_id LVS1 #表示运行keepalived服务器的一个标识,发邮件时显示在邮件主题的信息
}
#不使用SYNCGroup的话,如果路由有2个网段,一个内网,一个外网,每个网段开启一个VRRP实例,假设VRRP配置为检查内网,那么当外网出现问题时,VRRP会认为自己是健康的,则不会发送Master和Backup的切换,从而导致问题,SyncGroup可以把两个实例都放入SyncGroup,这样的话,Group里任何一个实例出现问题都会发生切换
vrrp_sync_grouptest {
group{
loadbalance
}
}
vrrp_instanceloadbalance {
state MASTER #指定keepalived的角色,MASTER表示此主机是主服务器,BACKUP表示此主机是备用服务器
interface eno16777736 #指定HA监测网络的接口
lvs_sync_daemon_inteface eno16777736 #负载均衡器之间的监控接口,类似于HA HeartBeat的心跳线
virtual_router_id 38 #虚拟路由标识,这个标识是一个数字,同一个vrrp实例使用唯一的标识。即同一vrrp_instance下,MASTER和BACKUP必须是一致的
priority 100 #定义优先级,数字越大,优先级越高,在同一个vrrp_instance下,MASTER的优先级必须大于BACKUP的优先级
advert_int 5 #定MASTER与BACKUP负载均衡器之间同步检查的时间间隔,单位是秒
authentication{
auth_type PASS #设置验证类型,主要有PASS和AH两种
auth_pass 1111 #设置验证密码,在同一个vrrp_instance下,MASTER与BACKUP必须使用相同的密码才能正常通信
}
virtual_ipaddress{
172.16.10.188 #设置虚拟IP地址,可以设置多个虚拟IP地址,每行一个
}
}
virtual_server172.16.10.188 80 { #设置虚拟服务器,需要指定虚拟IP地址和服务端口,IP与端口之间用空格隔开
delay_loop 6 #设置运行情况检查时间,单位是秒
lb_algo rr #设置负载调度算法,这里设置为rr,即轮询算法
lb_kind DR #设置LVS实现负载均衡的机制,有NAT、TUN、DR三个模式可选
#persistence_timeout 20 #会话保持时间,单位是秒。这个选项对动态网页是非常有用的,为集群系统中的session共享提供了一个很好的解决方案。
protocol TCP #指定转发协议类型,有TCP和UDP两种
real_server 172.16.10.162 80 { #配置服务节点1,需要指定realserver的真实IP地址和端口,IP与端口之间用空格隔开
weight1 #配置服务节点的权值,权值大小用数字表示,数字越大,权值越高
TCP_CHECK {
connect_timeout 3 #表示3秒无响应超时
nb_get_retry 3 #表示重试次数
delay_before_retry 3 #表示重试间隔
}
}
real_server 172.16.10.167 80 {
weight 1
TCP_CHECK {
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
}
}
}
virtual_server172.16.10.188 443 {
delay_loop 6
lb_algo rr
lb_kind DR
#persistence_timeout 20
protocol TCP
real_server 172.16.10.162 443 {
weight 1
TCP_CHECK {
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
}
}
real_server 172.16.10.167 443 {
weight 1
TCP_CHECK {
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
}
}
}
修改 keepalived 备的配置
基本都和主一样,只需要修改几处
stateBACKUP
priority99
router_idLVS2
在两台 lvs 服务器上开启路由转发功能
# vim/etc/sysctl.conf
net.ipv4.ip_forward= 1
# sysctl-p
添加 realserver ip 地址
# ipvsadm-A -t 172.16.10.188:80 -s rr
# ipvsadm-a -t 172.16.10.188:80 -r 172.16.10.162:80 -w 1
# ipvsadm-a -t 172.16.10.188:80 -r 172.16.10.167:80 -w 1
# ipvsadm-A -t 172.16.10.188:443 -s rr
# ipvsadm-a -t 172.16.10.188:443 -r 172.16.10.162:443 -w 1
# ipvsadm-a -t 172.16.10.188:443 -r 172.16.10.167:443 -w 1
查看
# ipvsadm-l
启动服务
# systemctlstart keepalived
# systemctlenable keepalived
ipvsadm脚本
# vim /etc/init.d/ipvsadm
#!/bin/bash
#
#LVS script for VS/DR
#
#./etc/rc.d/init.d/functions
#
VIP=172.16.10.188
RIP1=172.16.10.162
RIP2=172.16.10.167
PORT1=80
PORT2=443
Algorithm=rr
Weight=1
#
case"$1" in
start)
#Since this is the Director we must be able to forward packets
#只是临时修改,重启机器或重启网卡失效
echo 1 > /proc/sys/net/ipv4/ip_forward
#Clear all ipvsadm rules/services.
/usr/sbin/ipvsadm -C
#Add an IP virtual service for VIP
/usr/sbin/ipvsadm -A -t $VIP:$PORT1 -s$Algorithm
#Now direct packets for this VIP to
#the real server IP (RIP) inside the cluster
/usr/sbin/ipvsadm -a -t $VIP:$PORT1 -r $RIP1-g -w $Weight
/usr/sbin/ipvsadm -a -t $VIP:$PORT1 -r $RIP2-g -w $Weight
#Add an IP virtual service for VIP
/usr/sbin/ipvsadm -A -t $VIP:$PORT2 -s$Algorithm
#Now direct packets for this VIP to
#the real server IP (RIP) inside the cluster
/usr/sbin/ipvsadm -a -t $VIP:$PORT2 -r $RIP1-g -w $Weight
/usr/sbin/ipvsadm -a -t $VIP:$PORT2 -r $RIP2-g -w $Weight
/bin/touch /var/lock/subsys/ipvsadm &>/dev/null
;;
stop)
#Stop forwarding packets
echo 0 > /proc/sys/net/ipv4/ip_forward
#Reset ipvsadm
/usr/sbin/ipvsadm -C
# Bringdown the VIP interface
/usr/sbin/route del $VIP
/bin/rm -f /var/lock/subsys/ipvsadm
echo "ipvs is stopped..."
;;
status)
if [ ! -e /var/lock/subsys/ipvsadm ]; then
echo "ipvsadm is stopped ..."
else
echo "ipvs is running ..."
ipvsadm -L -n
fi
;;
*)
echo "Usage: $0{start|stop|status}"
;;
esac
添加开机启动
# vim/etc/rc.d/rc.local
/etc/init.d/ipvsadmstart
# chmod+x /etc/rc.d/rc.loca
relearserver端配置(nginx)
修改内核参数
# vim/etc/sysctl.conf
net.ipv4.conf.lo.arp_ignore=1
net.ipv4.conf.lo.arp_announce=2
net.ipv4.conf.all.arp_ignore=1
net.ipv4.conf.all.arp_announce=2
net.ipv4.ip_forward=0
# sysctl -p
配置虚拟IP地址
临时添加
# ifconfiglo:0 172.16.10.188 netmask 255.255.255.255 broadcast 172.16.10.188
永久添加
# vim /etc/sysconfig/network-scripts/ifcfg-lo:0
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
NAME=lo:0
DEVICE=lo:0
ONBOOT=yes
IPADDR=172.16.10.188
NETMASK=255.255.255.255
配置路由
临时添加
# routeadd -host 172.16.10.188 dev lo:0
永久添加
# vim /etc/sysconfig/network-scripts/route-lo:0
172.16.10.188dev lo:0
到此配置完成
测试
停止 keepalived 主,查看 vip 是否漂移到备,并测试是否可以正常访问
查看日志信息
# tail-f /var/log/messages
查看 LVS 当前设置
# watch ipvsadm -Ln
查看转发情况
# watch ipvsadm -Lnc
在测试中我发现,使用 rr 算法,一个用户的请求会被分发到两台 nginx 上,这并不是我想要的结果,大概看了一下 lvs 的八种算法,最后将 rr替换为了 sh (源地址散列),具体介绍自行百度,之后,同一个用户的请求可以被分发在同一台 nginx 上面了。
但是我又发现 keepalived 配置中有调度算法和权重, ipvsadm 中也有调度算法和权重,这是不是会有冲突呢,会使用谁的算法。
经过测试,手动配置完 keepalived 和 ipvsadm 之后,例如: keepalived 算法为 sh ,权重为 3 。 ipvsadm 算法为 rr ,权重为 1 。启动keepalived , ipvsadm-l 查看,发现算法替换为 sh ,权重为 3 。
手动将 ipvsadm 的配置修改,算法为 rr ,权重为 1 , keepalived 不重启, ipvsadm-l 查看,配置生效,经测试,使用的是手动改动过后的配置。
所以这两个的配置要一样。
LVS 负载均衡中 arp_ignore 和 arp_annonuce 参数配置的含义
arp_ignore:定义对目标地址为本地IP的ARP询问不同的应答模式0
0 - (默认值): 回应任何网络接口上对任何本地IP地址的arp查询请求
1 - 只回答目标IP地址是来访网络接口本地地址的ARP查询请求
2 -只回答目标IP地址是来访网络接口本地地址的ARP查询请求,且来访IP必须在该网络接口的子网段内
3 - 不回应该网络界面的arp请求,而只对设置的唯一和连接地址做出回应
4-7 - 保留未使用
8 -不回应所有(本地地址)的arp查询
arp_announce:对网络接口上,本地IP地址的发出的,ARP回应,作出相应级别的限制: 确定不同程度的限制,宣布对来自本地源IP地址发出Arp请求的接口
0 - (默认) 在任意网络接口(eth0,eth1,lo)上的任何本地地址
1 -尽量避免不在该网络接口子网段的本地地址做出arp回应. 当发起ARP请求的源IP地址是被设置应该经由路由达到此网络接口的时候很有用.此时会检查来访IP是否为所有接口上的子网段内ip之一.如果改来访IP不属于各个网络接口上的子网段内,那么将采用级别2的方式来进行处理.
2 - 对查询目标使用最适当的本地地址.在此模式下将忽略这个IP数据包的源地址并尝试选择与能与该地址通信的本地地址.首要是选择所有的网络接口的子网中外出访问子网中包含该目标IP地址的本地地址. 如果没有合适的地址被发现,将选择当前的发送网络接口或其他的有可能接受到该ARP回应的网络接口来进行发送.
ipvsadm 参数详解
# ipvsadm-h
ipvsadmv1.27 2008/5/15 (compiled with popt and IPVS v1.2.1)
Usage:
ipvsadm -A|E -t|u|f service-address [-sscheduler] [-p [timeout]] [-M netmask] [--pe persistence_engine] [-bsched-flags]
ipvsadm -D -t|u|f service-address
ipvsadm -C
ipvsadm -R
ipvsadm -S [-n]
ipvsadm -a|e -t|u|f service-address -rserver-address [options]
ipvsadm -d -t|u|f service-address -rserver-address
ipvsadm -L|l [options]
ipvsadm -Z [-t|u|f service-address]
ipvsadm --set tcp tcpfin udp
ipvsadm --start-daemon state[--mcast-interface interface] [--syncid sid]
ipvsadm --stop-daemon state
ipvsadm -h
Options:
--tcp-service -t service-address service-address is host[:port]
--udp-service -u service-address service-address is host[:port]
--fwmark-service -f fwmark fwmark is an integer greater than zero
--ipv6 -6 fwmark entryuses IPv6
--scheduler -s scheduler one ofrr|wrr|lc|wlc|lblc|lblcr|dh|sh|sed|nq,
thedefault scheduler is wlc.
--pe engine alternate persistence engine maybe sip,
not setby default.
--persistent -p [timeout] persistentservice
--netmask -M netmask persistentgranularity mask
--real-server -r server-address server-address is host (and port)
--gatewaying -g gatewaying(direct routing) (default)
--ipip -i ipip encapsulation (tunneling)
--masquerading -m masquerading (NAT)
--weight -w weight capacity ofreal server
--u-threshold -x uthreshold upperthreshold of connections
--l-threshold -y lthreshold lowerthreshold of connections
--mcast-interface interface multicast interface for connectionsync
--syncid sid syncid for connectionsync (default=255)
--connection -c output ofcurrent IPVS connections
--timeout output of timeout(tcp tcpfin udp)
--daemon output of daemoninformation
--stats output ofstatistics information
--rate output of rateinformation
--exact expand numbers(display exact values)
--thresholds output of thresholdsinformation
--persistent-conn output of persistentconnection info
--nosort disable sortingoutput of service/server entries
--sort does nothing, forbackwards compatibility
--ops -o one-packet scheduling
--numeric -n numericoutput of addresses and ports
--sched-flags -b flags schedulerflags (comma-separated)
--add-service -A add virtual service with option
在内核的虚拟服务器表中添加一条新的虚拟服务器记录。也就是增加一台新的虚拟服务器
--edit-service -E edit virtual service with options
编辑内核虚拟服务器表中的一条虚拟服务器记录
--delete-service -D delete virtual service
删除内核虚拟服务器表中的一条虚拟服务器记录
--clear -C clear the whole table
清除内核虚拟服务器表中的所有记录
--restore -R restore rules from stdin
恢复虚拟服务器规则
--save -S save rules to stdout
保存虚拟服务器规则,输出为-R 选项可读的格式
--add-server -a add real server with options
在内核虚拟服务器表的一条记录里添加一条新的真实服务器
--edit-server -e edit real server with options
编辑一条虚拟服务器记录中的某条真实服务器记录
--delete-server -d delete real server
删除一条虚拟服务器记录中的某条真实服务器记录
--list -L|-l list the table
显示内核虚拟服务器表
--zero -Z zero counters in a service or all services
虚拟服务表计数器清零
--set tcp tcpfin udp set connection timeout values
设置连接超时值
--start-daemon start connection sync daemon
启动同步守护进程。他后面可以是master 或backup,用来说明LVS Router 是master 或是backup。在这个功能上也可以采keepalived 的VRRP 功能。
--stop-daemon stop connection sync daemon
停止同步守护进程
--help -h display this help message
显示帮助信息
Options:
--tcp-service -t service-address service-address is host[:port]
说明虚拟服务器提供的是tcp 的服务[vip:port] or [real-server-ip:port]
--udp-service -u service-address service-address is host[:port]
说明虚拟服务器提供的是udp 的服务[vip:port] or [real-server-ip:port]
--fwmark-service -f fwmark fwmark is an integer greater than zero
说明是经过iptables 标记过的服务类型。
--scheduler -s scheduler one of rr|wrr|lc|wlc|lblc|lblcr|dh|sh|sed|nq,the default scheduler is wlc.
使用的调度算法,有这样几个选项,默认的调度算法是: wlc.
--persistent -p [timeout] persistent service
持久稳固的服务。这个选项的意思是来自同一个客户的多次请求,将被同一台真实的服务器处理。timeout 的默认值为300 秒
--netmask -M netmask persistent granularity mask
--real-server -r server-address server-address is host (and port)
真实的服务器[Real-Server:port]
--gatewaying -g gatewaying (direct routing) (default)
指定LVS 的工作模式为直接路由模式(也是LVS 默认的模式
--ipip -i ipip encapsulation (tunneling)
指定LVS 的工作模式为隧道模式
--masquerading -m masquerading (NAT)
指定LVS 的工作模式为NAT 模式
--weight -w weight capacity of real server
真实服务器的权值
--u-threshold -x uthreshold upper threshold of connections
--l-threshold -y lthreshold lower threshold of connections
--mcast-interface interface multicast interface for connection sync
指定组播的同步接口
--syncid sid syncid for connection sync (default=255)
--connection -c output of current IPVS connections
显示LVS 目前的连接 如:ipvsadm -L -c
--timeout output of timeout (tcp tcpfin udp)
显示tcp tcpfin udp 的timeout 值 如:ipvsadm -L --timeout
--daemon output of daemon information
显示同步守护进程状态
--stats output of statistics information
显示统计信息
--rate output of rate information
显示速率信息
--thresholds output of thresholds information
--persistent-conn output of persistent connection info
--sort sorting output of service/server entries
对虚拟服务器和真实服务器排序输出
--ops -O one-packet scheduling
--numeric -n numeric output of addresses and ports
输出IP 地址和端口的数字形式