理论部分:http://caduke.blog.51cto.com/3365689/1545211
实验环境:
node1.yh.com:172.16.100.15/16/eth0(vmnet1)
node2.yh.com:172.16.100.16/16/eth0(vmnet1)
win7:172.16.100.101/16(vmnet1,ping node)
实验目的:
使用haresource(heatbeat V1)格式的RA和crm牌(heatbeat V2)的CRM进行高可用实验
准备工作:
1、各个节点的uname -n与hostname要一样,最好修改/etc/sysconfig/network主机名
2、在/etc/hosts文件中写入所有HA节点的IP和对应主机名。
3、使用ntp服务器和crontab来保证各节点的时间保持一致。
/etc/ntp.conf的配置如下即可:
driftfile /var/lib/ntp/drift
restrict 127.0.0.1
restrict 172.16.0.0 mask 255.255.0.0
server 127.127.1.0 # local clock
fudge 127.127.1.0 stratum 10
includefile /etc/ntp/crypto/pw
keys /etc/ntp/keys
# crontab -l
*/2 * * * * /usr/sbin/ntpdate 172.16.100.15
4、建立双机互信:(2个节点都做)
# ssh-keygen -t rsa -P ''
#ssh-copy-id -i .ssh/id_rsa.pub [email protected](节点2执行node1.yh.com)
# date ; ssh node2.yh.com 'date'
5、安装用于测试的服务,比如httpd,但是一定保证开机不能自动启动
# chkconfig httpd off
6、解决依赖关系:
制作rpm包时,解决依赖关系需要安装如下程序包。
# yum -y install glib2-devel libnet-devel libtool-ltdl-devel net-snmp-devel bzip2-devel libxml2-devel openhpi-libs gnutls-devel python-devel
安装制作好的rpm包时,解决依赖关系需要安装如下程序包。
#yum -y install perl-MailTools net-snmp-libs
# yum install PyXML libnet ipvsadm –y
# rpm -ivh heartbeat-2.1.4-12.el6.x86_64.rpm heartbeat-gui-2.1.4-12.el6.x86_64.rpm heartbeat-pils-2.1.4-12.el6.x86_64.rpm heartbeat-stonith-2.1.4-12.el6.x86_64.rpm
实验配置:
软件安装好以后,所有的配置模板都在/usr/share/doc/heart-2.1.4中,需要复制。
# cp /usr/share/doc/heartbeat-2.1.4/{authkeys,ha.cf,haresources} /etc/ha.d/
修改防止主机随意加入的密钥:
/etc/ha.d/authkeys:
auth 1去掉前面的注释符,然后表示使用第几个验证方式。这里选择使用第二种。然后使用openssl产生一个加密字符串放在sha1后面
#1 crc
2 sha1 19d7faa993912bf4
#3 md5 Hello!
#openssl rand -hex 8
19d7faa993912bf4
# chmod 600 authkeys
修改主配置文件:
/etc/ha.d/ha.cf(下面只需要注意不带注释符的即可)
logfile /var/log/ha-log如果不使用messages日志,可以单独使用日志文件
#keepalive 2 心跳时间,默认单位是秒。如果使用毫秒,必须加单位
#deadtime 30 死亡时间,多长时间联系不到,就认为它挂了。不能小于keepalive
#warntime 10 警告时间,多久没有收到心跳了
#initdead 20 一个节点时不成立的,所以这里是等待第二个节点上线的时间。
#udpport 694基于单播或多播传递心跳的端口
#baud 19200指定串行线缆的速率的
#bcast eth0广播方式传递心跳
mcast eth0 225.0.0.1 694 1 0在哪个网卡上监听哪个组播IP的组播端口,后面默认即可。组播地址如果是多人实验环境,那么最好不要使用一个组播IP。225不要动,其他可以改,但也是有范围的。
如果在多块网卡上都提供多播信息,后面的2个值必须配置
第一个是TTL,表示只向下传递几跳。这里表示只能传递1次,避免循环
第二个是loop,0表示不能循环。
最好的方式
mcast eth0 225.4.40.3 694 1 0
#ucast eth0 192.168.1.2单播,后面跟的是对方的IP地址。这种方式不好。如果有多个,需要些多个。由于配置是有所变动的,所以并不是直接复制的。
auto_failback on是不是自动执行故障转回的。当node1为主节点,但是挂掉后,再恢复时,会自动恢复其主节点地位。
#stonith baytech /etc/ha.d/conf/stonith.baytech
命令行中stonith -L 可以列出所有支持stonith的RA资源代理。
每个不同的设备都有自己的配置参数。
可以使用meatware。
这里是实验环境也可以不使用。但有些环境必须使用才能启动服务。
#watchdog /dev/watchdog帮助主进程监视子进程的。如果子进程挂掉,可以自动重启,但是要启动,必须保证内核能够支持这个虚拟设备。如果自己收不到自己的心跳信息,就会将自己的主机重启。
node key3这里的key3是主机名,而且这个主机名必须和uname -n一样。
而且写出所有的节点。
node node1.yh.com
node node2.yh.com
ping 172.16.100.101这里是ping node.后面还可以ping组
compression bz2使用什么压缩
compression_threshold 2当报文大于多少时才压缩,否则浪费CPU。
修改资源配置文件:
/etc/ha.d/haresource:
这里面的内容定义了资源优先在哪个节点上启动,所以只需要定义一个节点即可。
node1.yh.com 172.16.100.10/16/eth0 httpd
这里定义了IP/netmask/配置网卡,httpd服务。当然还可以有文件系统,比如nfs
node1.yh.com 172.16.100.10/16/eth0 Filesystem::172.16.100.1:/web/htdocs::nfs(选用)
文件系统的定义方法:Filesystem::nfsIP:/目录::本地挂载目录::文件系统类型
注意:OCF的RA相比LSB格式的脚本功能更加强大,但如果使用IPaddr2格式的RA在使用ifconfig命令时看不到的,因为他使用的是ip addr设置的。
复制配置文件:
# scp ha.cf authkeys haresources 172.16.100.16:/etc/ha.d
启动heartbeat服务:
# service heartbeat start
# ssh node2.yh.com ‘service heartbeat start’(有必要这样做)
# ss -lanpu | grep 694(已经被监听)
# 在节点上查看httpd服务器的状态。
使用node1.yh.com成为备用节点:
# /usr/lib64/heartbeat/hb_standby(node1上执行,然后node2称为了主节点)
# /usr/lib64/heartbeat/hb_tabkeover(node1上执行,node1继续成为主节点)
/usr/lib64/heartbeat/目录下还有其他命令,比如情况arp缓存的命令。
当然,也可以使node1直接宕机,使得node2成为主节点。
但由于配置了auto_failback,node1恢复正常时,node1会再次成为主节点。
使用图形界面的配置工具:
1、/etc/ha.d/ha.cf中添加’crm on或者是’crm respawn’,并复制到node2.yh.com,
然后重启两个节点的服务。这时/etc/ha.d/haresource中的配置便失效了。
2、由于打开图形界面需要用户hacluster,所以需要给此用户加一个密码。
而且这个用户只能使用这个密码在这个主机上登录,并不是通用的。
# passwd hacluster
3、启动图形界面
# hb_gui &
配置图形界面下的高可用服务:
Connection→输入密码→OK
使用Resources添加单个资源:
增加IP资源:
右击Reasource→Add New Item→native→Resource ID:webip、
Type:IPaddr(选中任意选项,输入ip进行快速搜索,属于LSB格式,ifconfig查看。
IPaddr2必须使用ip addr查看,且ipaddr2与lvs有冲突)
Parameters:ip输入172.16.100.10,Add parameters增加参数可以选择网卡nic,
cidr_netmask选择使用子网掩码;broadcast选择使用广播地址;
lvs_support选择添加lvs支持,然后Value中添加true
在最下面也可以定克隆和主从资源。
最后Add。
选中资源webip,然后在右侧栏中有Attributes有target_role,
其值started表示集群启动时就启动资源。stopped表示集群启动时不启动资源。
增加文件系统资源:
Resource ID:webstore
device: 172.16.100.1:/web/htdocs(nfs资源)
directory: /web/htdocs(节点上挂载点)
fstype: nfs(文件系统类型,当然也可以添加集群文件系统ocfs2)
增加web服务:
Resource ID:webserver
httpd选中即可点击Add。
定义资源约束:
定义好上面的资源后,会发现各个服务是分别运行在不同的节点上的,且无法改变。
这时就需要使用group来将其绑定,但是只有组资源是无法加入现有资源的。
所以定义资源约束是最好的选择。
定义排列约束colocations:使得web资源都在同一个节点运行
Constraints→colocations→Item Type:colocation→ID:webip_with_webstore
From:webip To:webstore Score:INFINITY
在下面的描述中可以看到,此配置时以To:webstore为准的。
1:确保webip和webstore在相同的节点上。
2:假如webstore不能配置在某节点上,webip同样不能配置在那个节点上。
3:假如webip不能配置在某个节点上,webstore不会受到影响。
Constraints→colocations→Item Type:colocation→ID:webstore_with_webserver
From:webstore To:webserver Score:INFINITY
定义顺序约束Orders:使得web资源启动按照IP→Filesystem→httpd
Constraints→Order→Item Type:order→ID:webstore_after_webip
From:webstore To:webip
描述:此时已webip为准。
1、webip先启动,webstore后启动。
2、假如webip不能启动,webstore也不用启动。
3、先停止webstore,再停止webip。
4、假如不能停止webstore,那么webip也不能停止。
定义资源组group:
Resources→Item Type:group→ID:mysqlservice→Resource ID:mysqlip
Type:IPaddr2 ip:172.16.100.11 nic:eth0
mysqlservice→Item Type:native→Resource ID:mysqlstore
Type:Filesystem
device :172.16.100.1:/mysqldata
directory:/mydata/
fstype :nfs
mysqlservice→Item Type:native→Resource ID:mysqlserver
Type:mysqld(使用lsb格式即可)
定义nfs服务:
在定义web服务时,只需要将nfs输出目录输出即可。但是定义mysql服务却又诸多限制。
mysql服务一般不会使用nfs,因为nfs是文件级别的文件系统,性能差等
一般mysql会使用SAN块设备,廉价的可以是drbd分布式块。
但这里为了实验,也可以使用nfs。但需要注意以下几点:
1、mysql用户的ID、GID包括nfs设备在内的节点都要相同
2、/etc/exports文件:/mysqldata 172.16.0.0/16(rw,async,no_root_squash)
3、在某一个节点挂载并初始化mysql后,需要将的属主、属组都改为mysql
# chown –R mysql.mysql /mysqldata/data(mysql产生的目录)
4、如果还有其他服务使用nfs,不能重启nfs,需要重新输出即可
# exportfs -arv
将以上HA节点当做lvs的分发器的实现:
1、在任意节点将ipvsadm规则做出来,复制到各HA节点,并清空运行规则
当然其他配置照旧,比如打开路由转发等。
# service ipvsadm save
# scp /etc/sysconfig/ipvsadm node2.yh.com:/etc/sysconfig
# ipvsadm –C
2、添加ipvs的group:
在普通的LVS配置时,需要手动配置VIP和ipvs规则,所以这里仍然是分开的:
ipvs提供规则,VIP需要单独配置
ipvsservice→ipvsIP→ipvsIP:
IPaddr2→ip:172.16.100.11,nic:eth0,cidr_netmask:32,lvs_support:true
ipvsservice→ipvsrules→ipvsrules:
ipvsadm添加即可
关于LSB脚本:
如果手动写LSB脚本,那么这个状态必须有固定输出格式:
running正在运行
stopped已经停止,不能写为not running,因为不识别not。
将以上面的ipvs高可用使用ldirectord进行高可用:
说明:在生产环境中,如果不是自己提供监控脚本,ipvsadm的实用性并不高。因为ipvs不能实时监测后端RS的健康状态,所以后续又出现了ldirectord项目,它可以针对不同的后端服务采用不同的监测手段,而不是简单的探测RS的存活状态。比如提供http、https、imap、mysql、smtp等监测手段。所以相比ipvsadm,ldirectord更为实用。
但是ldirector只是调用ipvs,并提供健康状态监测。
ldirectord可以脱离heartbeat高可用服务单独使用,且由于其在/etc/init.d/ldirectord有服务脚本,所以可以当做服务启动、关闭。
在配置ldirector高可用时,类似于ipvs的高可用,依然需要在heartbeat配置VIP,然后ldirectord提供规则。
安装:# rpm -ivh heartbeat-ldirectord-2.1.4-12.el6.x86_64.rpm
查看:# rpm -ql heartbeat-ldirectord
/etc/ha.d/resource.d/ldirectord 这是一个OCF的RA代理脚本
/etc/init.d/ldirectord可以直接使用service 启动、停止
/etc/logrotate.d/ldirectord日志滚动工具
/usr/sbin/ldirectord
/usr/share/doc/heartbeat-ldirectord-2.1.4
/usr/share/doc/heartbeat-ldirectord-2.1.4/COPYING
/usr/share/doc/heartbeat-ldirectord-2.1.4/README
/usr/share/man/man8/ldirectord.8.gz帮助文档
/usr/share/doc/heartbeat-ldirectord-2.1.4/ldirectord.cf配置样例,需要复制到/etc/ha.d下修改。
配置:
1、# cp /usr/share/doc/heartbeat-ldirectord-2.1.4/ldirectord.cf /etc/ha.d
2、# vim /etc/ha.d/ldirectord.cf
# Global Directives 全局配置
checktimeout=3 为防止RS负载过大等情况造成短时间失联,允许多等待的时间
checkinterval=1 检查健康状况的时间间隔
#fallback=127.0.0.1:80
autoreload=yes 改动配置文件时,程序会自动重新载入配置,无需手动干预
logfile="/var/log/ldirectord.log" 在本机上使用单独的日志
#logfile="local0" syslog或rsyslog的日志
#emailalert="[email protected]" 出现问题时接受报警信息的Email
#emailalertfreq=3600 邮件发送频率
#emailalertstatus=all 发送最详细的错误信息
quiescent=yes 以静默模式工作。下面有详细解释。
# Sample for an http virtual service定义单个服务的虚拟主机。
virtual=172.16.100.8:80 定VIP:port,而下面的内容不能顶头写
real=172.16.100.1:80 gate 10
定义RS的IP:port,lvs模式为DR,权重为10。权重默认为1,未写
real=172.16.100.172:80 gate 11
fallback=127.0.0.1:80 gate
当所有RS宕机时,提供ldirectord服务的主机返回的错误信息
service=http 定义健康状态监测时具体检测哪项服务。详见下面解释
checktype=negotiate 定义检测RS健康状态时的机制。详见下面解释
request=".test.html" 测试请求RS的httpd服务的哪个页面。此lvs服务的全局配置
receive="OK" 使用正则表达式检测".test.html"中是否包含"OK"
virtualhost=172.16.100.8
如果VIP提供的是多个虚拟主机,则在这里写。
由于这里是测试环境,所以直接写VIP。
当只有一个virtualhost时,后面不能再加一个假的
而且后面的request和receive可以删除
scheduler=wrr 调度方法
#persistent=600 定义持久连接时间
#netmask=255.255.255.255
protocol=tcp 见详解
checkport=80
详解:
quiescent = yes|no
当为yes时,即使RS宕掉,ldirectord依然会基于持久连接模板向发送数据。
所以需要改为no。或者采用以下方法清除持久连接模板中的数据:
echo 1 > /proc/sys/net/ipv4/vs/expire_quiescent_template
protocol = tcp|upd|fwm
fwm为防火墙标记,需要使用iptables的mangle表的PREROUTING进行打标记。
后面“virtual=1”就是表示使用防火墙标记。
checktype = connect|external|negotiate|off|ping|checktimeout
connect:纯粹的连接测试
external:调用自己的检测脚本。需指定路径checkcommand=/path/to/script
negotiate:自动协商。
service = dns|ftp|http|https||imap|imaps|ldap|mysql|nntp|none|oracle|pgsql|
pop|pops|radius|simpletcp|sip|smtp
当checktype = negotiate时,会使用以上服务进行检测。
所有ldirectord节点的其他配置:
1、# scp /etc/ha.d/ldirectord.cf node2.yh.com:/etc/ha.d
2、# service httpd start
实验环境时,各ldirectord节点httpd需要启动,且提供的错误页面最好不同。
使用CRM图形界面配置ldirectord的服务:
以上内容只是为ldirectord提供了一个ipvs规则和其运行环境。
真正使ldirectord服务变的高可用,就需要将其加入HA服务。否则只能单机使用。
具体步骤:
Ressources→Item Type:group→ID:ldirectordcluster→Resource ID:webip
Type→IPaddr2→ip:172.16.100.11,nic:eth0,cidr_netmask:32,lvs_support:true
ldirectordcluster→Item Type:native→Resource ID:ldirectord
Type→ldirectord(ocf)→configfile:/etc/ha.d/ldirectord.cf
后端RS上的操作:
1、定义arp_ignore和arp_announce
2、添加VIP
3、添加主机路由,使得从RS的eth0接口出去的数据包源IP是VIP