О чем вообще речь
Keepalived — это сервис, предназначенный для обеспечения безаварийной работы других служб. Нужно понимать, что это не самодостаточная сущность, и для предоставления доступа к «целевому» контенту необходим также или сервис-балансировщик. Далее в этой статье я покажу, как настроить связку «keepalived + HAProxy + webserver» на Ubuntu 20.04 LTS.
Подготовка
Перед установкой собственно keepalived необходимо провести ряд работ по подготовке инфраструктуры. Потребуются:
- Два идентичных сервера для размещения контента проекта и два сервера, также одинаковых по характеристикам, для балансировщика haproxy и демона keepalived;
- ОС Ubuntu 20.04 и привилегированные права на всех этих серверах;
- Две подсети, одна общая и одна приватная. Контент-серверы из соображений безопасности не будут доступны через общедоступную подсеть, серверы балансировки должны быть подключены к обеим сетям;
- Один дополнительный публичный IP-адрес в публичной подсети, не закрепленный явно за каким-либо из серверов;
- Доменное имя, «направленное» на этот «дополнительный» IP.
Приступим к подготовке:
- Создайте четыре сервера через личный кабинет ServerSpace. Все они должны быть размещены в одной локации;
- Создайте две подсети в соответствии с описанием выше;
- Подключите все серверы к созданным сетям. Затем переустановите на них ОС, это самый быстрый способ применить сетевые настройки без анализа и редактирования конфигурационных файлов;
- Когда переустановка завершится, перейдите в личном кабинете в раздел Networks и кликните по названию каждой подсети. Вы увидите, какому серверу какой IP был назначен. Запомните эти данные, они понадобятся при дальнейшей настройке. Также держите в уме, что один неиспользуемый IP-адрес (45.14.48.134 в моем примере) будет использоваться как «плавающий» адрес для обеспечения отказоустойчивости;
- Создайте набор правил брандмауэра, блокирующих любой трафик, поступающий на «конетент-серверы» через «публичный» интерфейс, кроме трафика из вашей подсети. Также стоит внести в белый список «внешний» IP вашего компьютера, это сделает управление серверами более комфортным. Самый простой способ достичь цели - кликнуть по имени первого сервера с контентом вашего проекта в панели ServerSpace, добавить правила файрволла и нажать кнопку SAVE. Помните, что «разрешающие» правила нужно ставить выше, чем правила блокировки;
- Повторите те же действия для второго сервера, обслуживающего ваш проект
- Добавьте в конец файла /etc/hosts на каждом из четырех серверов следующие строки:
<backend_server_one_IP> content1 content1.your.domain
<backend_server_two_IP> content2 content2.your.domain
<balancer_server_one_IP> haproxy1 haproxy1.your.domain
<balancer_server_two_IP> haproxy2 haproxy2.your.domain
<1st_floating_IP_for_keepalived> your.domain
<2nd_floating_IP_for_keepalived> your.domain
Настройка связки «веб-сервер, балансировщик и демон keepalived»
- Разверните два идентичных экземпляра данных вашего проекта на оба контент-сервера. Так как моя статья создается в «учебных» целях, я просто установлю веб-сервер nginx с «тестовой страницей». Индексные файлы будут отличаться, просто чтобы проиллюстрировать работу программ и показать, что сервисы балансировки реально работают;
echo $(hostname) > /var/www/html/index.nginx-debian.html # именно у вас путь может быть другим, тут указывается каталог сайта и индексный файл
- Авторизуйтесь на первом сервере балансировки и установите пакет haproxy.
Отредактируйте файл конфигурации /etc/haproxy/haproxy.cfg, добавив следующие строки;
#frontend
#---------
frontend my_haproxy
bind *:80
stats uri /haproxy?stats
default_backend my_haproxy
# backend
#---------
backend my_haproxy
balance roundrobin
mode http
server content1 <1st_backend_server_private_IP>:80 check
server content2 <2nd_backend_server_private_IP>:80 check
- Перезапустите службы haproxy
- Одновременно запустите два сеанса терминала на вашем локальном компьютере и выполните следующие команды (по одной на окно):
while sleep 3; do curl http://<1st_balancer_public_IP>; done
while sleep 3; do curl http://<2nd_balancer_public_IP>; done
Если вы видите чередующиеся "ответы" в обоих окнах терминала - обе службы haproxy работают, можете переходить к следующему шагу;
- Установите на оба сервера-балансировщика программный пакет keepalived:
- Уточните имена «публичных» сетевых интерфейсов на обоих серверах;
- Вставьте в файл параметров конфигурации для демона keepalived на первом балансировщике следующий код:
vrrp_instance MY_KEEPALIVED1 {
state MASTER
interface ens192
virtual_router_id 1
priority 11
virtual_ipaddress {
45.14.48.134/29 dev ens192 label ens192:1
}
}
Кратко опишу что они означают:
vrrp_instance - имя инстанса, любые символы без пробелов,
state - роль сервера, ведомый или ведущий
interface - имя сетевого интерфейса, вы уточнили его на предыдущем шаге,
virtual_router_id - идентификатор «виртуального роутера», должен быть одинаковым на всех серверах-балансировщиках,
priority - приоритет балансировщиков, чем выше цифра тем больше приоритет, самый высокий следует выставлять для «ведущего» сервера,
virtual_ipaddress - один IP в подсети, не назначенный ни одному из серверов. Именно на этот адрес нужно «направить» А-записи вашего домена.
- По аналогии создайте файл конфигурации для второго сервера-балансировщика:
vrrp_instance MY_KEEPALIVED1 {
state SLAVE
interface ens192
virtual_router_id 1
priority 10
virtual_ipaddress {
45.14.48.134/29 dev ens192 label ens192:1
}
}
Обратите внимание на текст, в нем параметры «priority» и «state» поменялись местами, а всё остальное идентично.
- Разрешите автозапуск и перезапустите сконфигурированные службы на обоих серверах балансировки;
- Проверьте статус. Запущенные службы отображаются так:
Проверка работы балансировки и имитация аварии
- Снова откройте терминал на своем компьютере и дайте следующую команду:
while sleep 5; do curl http://<ваш_домен>; done
Как видно, оба сервера контента работают и отвечают по очереди:
- Остановите «главный» балансировщик;
- Видно, что «резервный» балансировщик повысил статус до ведущего, а контент продолжает доставляться без перебоев с обоих «контентных» серверов;
- Теперь отключим один из серверов, содержащих контент;
На скриншоте видно, что был буквально секундный обрыв связи, проект остался работоспособным, контент поступает со второй ноды;
- Когда «сбойный» сервер возвращается в строй, его контент также «возвращается» незаметно для пользователей проекта;
- И, наконец, если вернуть в строй «упавший» балансировщик, он снова берет на себя ведущую роль:
Выводы
Прочитав этот материал, вы узнали, как построить отказоустойчивую инфраструктуру на базе nginx, haproxy и keepalived в Ubuntu 20 LTS.