分布式Redis故障转移(sentinel)

  • sentinel的相互感知
    • 三个定时任务
  • master的故障发现
  • sentinel Leader选举
  • 故障转移failover
    • slave晋升的规则
  • 总结

当2台以上Redis实例形成了主备关系,他们组成的集群就具备了一定的高可用:当master 故障时,slave可以成为新的master,对外提供读写服务,这种运行机制称为failover。那么谁去发现master的故障,并做failover呢?

一种方式是:保持一个daemon进程,监控着所有的master-slave节点,如下所示:

分布式Redis故障转移(sentinel)_第1张图片

上图中,一个Redis集群里有一个master和2个slave,并且由daemon进程监控着。这种方式存在的问题是:daemon作为单点,无法保证高可用。因此需要引入更多的daemon,如下所示:

分布式Redis故障转移(sentinel)_第2张图片

上图中,为了解决daemon单点问题,我们引入了2个daemon进程。但是多个daemon 如何对某个master是否可用达成一致?然后如何决策master是否需要failover?

分布式Redis故障转移(sentinel)_第3张图片

上图中,多个daemon 组成的集群称为sentinel集群,每个sentinel节点就是daemon节点。这些节点相互通信、选举、协商,在master节点的故障发现、failover决策上表现出一致性。

sentinel的相互感知

sentinel节点间因为共同监视了同一个master节点,从而也关联了起来。一个新加入的sentinel节点,需要和有相同监视的master的其他sentinel节点相互感知。方式如下:所有需要相互感知的sentinel都向他们共同的master节点上订阅相同的channel:__sentinel__:hello;新加入的sentinel节点向这个channel发布一条消息,包含了自己的信息,该channel的订阅者们就可以发现这个新的sentinel。随后新的sentinel和已有的其他sentinel建立长连接,如下所示:

分布式Redis故障转移(sentinel)_第4张图片

上图中,新的sentinel加入后,它向master发送加入信息,然后所有订阅的sentinel节点都会感知到新sentinel节点的存在。

三个定时任务

  1. 每10秒,每个Sentinel对master和slave执行info。(发现slave节点;确认主从关系)
  2. 每2秒,每个Sentinel通过master节点的channel交换信息(如上所示:PUB/SUB)。(通过__sentinel__:hello频道交互;交互对节点的“看法”和自身信息)
  3. 每1秒,每个Sentinel对其他Sentinel和Redis执行ping。

master的故障发现

sentinel节点通过定期的向master发送心跳包判断其存活状态,称为PING。一旦发现master没有正常的响应,sentinel将此master置为“主观不可用”。所谓“主观”,意思就是还未得到其他sentinel节点的确认,如下所示:

分布式Redis故障转移(sentinel)_第5张图片

随后将 “主观不可用” 发送给其他所有的sentinel节点进行确认(is-master-down-by-addr),当确认的sentinel节点数 >= quorum(可配置)时,则判定该master 为不可用(客观下线),随后进入failover流程。

sentinel monitor <masterName> <ip> <port> <quorum>
如:sentinel monitor myMaster 127.0.0.1 6379 2

sentinel down-after-milliseconds <masterName> <timeout>
如:sentinel down-after-milliseconds myMaster 30000

当master主观不可用时,投票的阀值(quorum)是2;确认“主观不可用”的时间阀值是30S。

sentinel Leader选举

当一台master真正宕机后,可能多个sentinel同时发现了此问题,并通过交互确认“主观不可用”的猜想,然后发起failover。但是最终只能有一个sentinel作为failover的发起者,此时需要开启一个Leader选举的过程,来确定谁来发起failover。

Redis的sentinel机制采用类似Raft协议实现这个选举算法:

  • sentinelState的Epoch变量类似于Raft协议中的term(选举回合)。
  • 每个确认了master“主观不可用”的sentinel节点,都会向周围广播自己的参选请求。
  • 每个接收到参选请求的sentinel节点,如果还没人向它发送过参选请求。它就将本选举回合的意向置位首个参选sentinel并回复;如果已经表示过意向了,则拒绝其他的参选,并将自己的意向回复。
  • 每个发送参选请求的sentinel,如果收到了超过一半的同意意向(投票者包含自己),则确定为Leader;如果本回合持续了足够长的时间还未选出Leader,则开启下一个回合。

Leader sentinel确定之后,从所有master的slave中依据一定的规则,选举出一个新的master,并告知其他slave连接这个master。

故障转移failover

  1. 从slave节点中选出一个“合适的”节点作为新的master节点;
  2. 对上面的slave节点执行 salveof no one 命令,让其成为master节点;
  3. 向剩余的slave节点发送命令,让它们成为新的master的slave,复制规则和parallel-syncs参数有关;
  4. 更新对旧的master节点配置为slave,并保持对其关注,当其恢复后命令其去复制新master节点的内容。

slave晋升的规则

  1. 选择slave-priority(slave节点优先级)最高的节点,如果存在则返回,不存在则继续;
  2. 选择复制偏移量最大的slave节点(复制最完整的),如果存在则返回,不存在则继续;
  3. 选择runId最小的slave节点(最先启动的)。

总结

  • Redis Sentinel中的Sentinel节点数应该 >= 3,且最好为奇数;
  • Redis Sentinel中的数据节点与普通节点没有区别;
  • 客户端初始化连接的是Sentinel节点集合,不再是具体的Redis节点,但Sentinel只是配置中心,不是代理;
  • Redis Sentinel 通过3个定时任务,实现了Sentinel 节点对master、slave和其余Sentinel节点的监控;
  • Redis Sentinel在对节点做失败判定时,分为“主观不可用/主观下线”和“客观不可用/客观下线”;
  • 看懂Redis Sentinel故障转移日志,对于Redis Sentinel以及排查问题非常有帮助;
  • Redis Sentinel实现读写分离高可用,可以依赖Sentinel节点的消息通知,获取Redis数据节点的状态变化。

参考:《深入分布式缓存》
链接:http://moguhu.com/article/detail?articleId=107

你可能感兴趣的:(Redis,Redis,故障转移,failover,Sentinel,晋升)