案例研究:Healthcheck
作为示例,我们可以介绍以下 LVS 拓扑:
首先,您需要一个配置良好的 LVS 拓扑。在本文档的其余部分,我们将假设已完成所有系统配置。这种拓扑通常在 DMZ 架构中实现。有关 LVS NAT 拓扑和系统配置的更多信息,请阅读 Joseph Mack LVS HOWTO。
主要架构组件
- LVS 路由器:拥有负载平衡 IP 类路由(192.168.100.0/24)。
- 网络路由器 :整个内部网络的默认路由器。所有 LAN 工作站都通过此 IP 地址进行处理。
- 网络DNS服务器:参考内网IP拓扑。
- SMTP 服务器:接收邮件提醒的 SMTP 服务器。
- 服务器池:托管负载平衡服务的服务器集合。
服务器池规格
在此示例配置中,我们有 2 个服务器池:
- 服务器池 1:托管 HTTP 和 SSL 服务。每台服务器拥有两台应用服务器(IBM WEBSPHERE 和 BEA WEBLOGIC)
- 服务器池 2:托管 SMTP 服务。
Keepalived 配置
现在,您可以根据 LVS 拓扑配置 Keepalived 守护程序。整个配置在 /etc/keepalived/keepalived.conf 文件中完成。在我们的案例研究中,此文件如下所示:
# Configuration File for keepalived global_defs { notification_email { admin@domain.com 0633225522@domain.com } notification_email_from keepalived@domain.com smtp_server 192.168.200.20 smtp_connect_timeout 30 lvs_id LVS_MAIN } virtual_server 192.168.200.15 80 { #虚拟服务,也称为直接服务器,端口80,在上下文中定义转接的真实服务,转接的真实服务可以由多个组成,由虚拟服务lvs调度算法分配。 delay_loop 30 lb_algo wrr lb_kind NAT persistence_timeout 50 protocol TCP sorry_server 192.168.100.100 80 real_server 192.168.100.2 80 { weight 2 #权重 HTTP_GET { url { path /testurl/test.jsp digest ec90a42b99ea9a2f5ecbe213ac9eba03 } url { path /testurl2/test.jsp digest 640205b7b0fc66c1ea91c463fac6334c } connect_timeout 3 retry 3 delay_before_retry 2 } } real_server 192.168.100.3 80 { weight 1 HTTP_GET { url { path /testurl/test.jsp digest 640205b7b0fc66c1ea91c463fac6334c } connect_timeout 3 retry 3 delay_before_retry 2 } } } virtual_server 192.168.200.15 443 { delay_loop 20 lb_algo rr lb_kind NAT persistence_timeout 360 protocol TCP real_server 192.168.100.2 443 { weight 1 TCP_CHECK { connect_timeout 3 } } real_server 192.168.100.3 443 { weight 1 TCP_CHECK { connect_timeout 3 } } } virtual_server 192.168.200.15 25 { delay_loop 15 lb_algo wlc lb_kind NAT persistence_timeout 50 protocol TCP real_server 192.168.100.4 25 { weight 1 TCP_CHECK { connect_timeout 3 } } real_server 192.168.100.5 25 { weight 2 TCP_CHECK { connect_timeout 3 } } }
根据此配置示例,Keepalived守护进程将使用以下信息驱动内核:
-
LVS 服务器将拥有名称:LVS_MAIN
通知:
- SMTP 服务器为:192.168.200.20
- SMTP 连接超时设置为:30 秒
- 通知电子邮件将发送至:admin@domain.com & 0633225522@domain.com
-
负载平衡服务:
-
HTTP: VIP 192.168.200.15 端口 80
- 负载平衡:使用加权轮询调度程序和 NAT 转发。每个 TCP 服务的连接持久性设置为 50 秒。如果您使用的是 Linux 内核 2.2,则需要指定 NAT 网络掩码来定义 IPFW 伪装粒度(nat_mask 关键字)。延迟循环设置为 30 秒
- 抱歉服务器:如果所有真实服务器都从 VS 的服务器池中删除,我们会添加抱歉服务器 192.168.100.100 端口 80 来满足客户端请求。
- 真实服务器 192.168.100.2 端口 80 的权重将为 2。故障检测将基于 2 个 URL 上的 HTTP_GET。服务连接超时将设置为 3 秒。真实服务器在重试 3 次后将被视为已关闭。守护进程将等待 2 秒后再重试。
- 真实服务器 192.168.100.3 端口 80 的权重将为 1。故障检测将基于 1 个 URL 上的 HTTP_GET。服务连接超时将设置为 3 秒。真实服务器在重试 3 次后将被视为已关闭。守护进程将等待 2 秒后再重试。
-
SSL: VIP 192.168.200.15 端口 443
- 负载平衡:使用带 NAT 转发的 Round Robin 调度程序。每个 TCP 服务上的连接持久性设置为 360 秒。延迟循环设置为 20 秒
- 真实服务器 192.168.100.2 端口 443 的权重将为 2。故障检测将基于 TCP_CHECK。3 秒连接超时后,真实服务器将被视为已关闭。
- 真实服务器 192.168.100.3 端口 443 的权重将为 2。故障检测将基于 TCP_CHECK。3 秒连接超时后,真实服务器将被视为已关闭。
-
SMTP:VIP 192.168.200.15 端口 25
- 负载平衡:在 NAT 拓扑中使用加权最小连接调度算法,连接持久性设置为 50 秒。延迟循环设置为 15 秒
- 真实服务器 192.168.100.4 端口 25 的权重将为 1。故障检测将基于 TCP_CHECK。3 秒连接超时后,真实服务器将被视为已关闭。
- 真实服务器 192.168.100.5 端口 25 的权重将为 2。故障检测将基于 TCP_CHECK。3 秒连接超时后,真实服务器将被视为已关闭。
-
对于 SSL 服务器健康检查,我们可以使用 SSL_GET 检查器。相应真实服务器的配置块将如下所示:
virtual_server 192.168.200.15 443 { delay_loop 20 lb_algo rr lb_kind NAT persistence_timeout 360 protocol TCP real_server 192.168.100.2 443 { weight 1 SSL_GET { url { path /testurl/test.jsp digest ec90a42b99ea9a2f5ecbe213ac9eba03 } url { path /testurl2/test.jsp digest 640205b7b0fc66c1ea91c463fac6334c } connect_timeout 3 retry 3 delay_before_retry 2 } } real_server 192.168.100.3 443 { weight 1 SSL_GET { url { path /testurl/test.jsp digest 640205b7b0fc66c1ea91c463fac6334c } connect_timeout 3 retry 3 delay_before_retry 2 } } }
要通过 URL 生成总和,只需按以下步骤操作:
[root@lvs /root]# genhash –s 192.168.100.2 –p 80 –u /testurl/test.jsp --------------------------[ HTTP Header Buffer ]-------------------------- 0000 48 54 54 50 2f 31 2e 31 - 20 34 30 31 20 55 6e 61 HTTP/1.1 401 Una 0010 75 74 68 6f 72 69 7a 65 - 64 0d 0a 44 61 74 65 3a uthorized..Date: 0020 20 4d 6f 6e 2c 20 32 33 - 20 41 70 72 20 32 30 30 Mon, 23 Apr 200 0030 31 20 31 35 3a 34 31 3a - 35 34 20 47 4d 54 0d 0a 1 15:41:54 GMT.. 0040 41 6c 6c 6f 77 3a 20 47 - 45 54 2c 20 48 45 41 44 Allow: GET, HEAD 0050 0d 0a 53 65 72 76 65 72 - 3a 20 4f 72 61 63 6c 65 ..Server: Oracle 0060 5f 57 65 62 5f 4c 69 73 - 74 65 6e 65 72 2f 34 2e _Web_Listener/4. 0070 30 2e 38 2e 31 2e 30 45 - 6e 74 65 72 70 72 69 73 0.8.1.0Enterpris 0080 65 45 64 69 74 69 6f 6e - 0d 0a 43 6f 6e 74 65 6e eEdition..Conten 0090 74 2d 54 79 70 65 3a 20 - 74 65 78 74 2f 68 74 6d t-Type: text/htm 00a0 6c 0d 0a 43 6f 6e 74 65 - 6e 74 2d 4c 65 6e 67 74 l..Content-Lengt 00b0 68 3a 20 31 36 34 0d 0a - 57 57 57 2d 41 75 74 68 h: 164..WWW-Auth 00c0 65 6e 74 69 63 61 74 65 - 3a 20 42 61 73 69 63 20 enticate: Basic 00d0 72 65 61 6c 6d 3d 22 41 - 43 43 45 53 20 20 20 20 realm="ACCES 00e0 22 0d 0a 43 61 63 68 65 - 2d 43 6f 6e 74 72 6f 6c "..Cache-Control 00f0 3a 20 70 75 62 6c 69 63 - 0d 0a 0d 0a : public.... ------------------------------[ HTML Buffer ]----------------------------- 0000 3c 48 54 4d 4c 3e 3c 48 - 45 41 44 3e 3c 54 49 54 <HTML><HEAD><TIT 0010 4c 45 3e 55 6e 61 75 74 - 68 6f 72 69 7a 65 64 3c LE>Unauthorized< 0020 2f 54 49 54 4c 45 3e 3c - 2f 48 45 41 44 3e 0d 0a /TITLE></HEAD>.. 0030 3c 42 4f 44 59 3e 54 68 - 69 73 20 64 6f 63 75 6d <BODY>This docum 0040 65 6e 74 20 69 73 20 70 - 72 6f 74 65 63 74 65 64 ent is protected 0050 2e 20 20 59 6f 75 20 6d - 75 73 74 20 73 65 6e 64 . You must send 0060 0d 0a 74 68 65 20 70 72 - 6f 70 65 72 20 61 75 74 ..the proper aut 0070 68 6f 72 69 7a 61 74 69 - 6f 6e 20 69 6e 66 6f 72 horization infor 0080 6d 61 74 69 6f 6e 20 74 - 6f 20 61 63 63 65 73 73 mation to access 0090 20 69 74 2e 3c 2f 42 4f - 44 59 3e 3c 2f 48 54 4d it.</BODY></HTM 00a0 4c 3e 0d 0a - L>.. -----------------------[ HTML MD5 final resulting ]----------------------- MD5 Digest : ec90a42b99ea9a2f5ecbe213ac9eba03
唯一要做的就是复制生成的 MD5 摘要值并将其粘贴到您的 Keepalived 配置文件中作为摘要值关键字。