亚洲免费在线-亚洲免费在线播放-亚洲免费在线观看-亚洲免费在线观看视频-亚洲免费在线看-亚洲免费在线视频

用nginX+keepalived實現高可用的負載均衡

系統 1605 0

摘要:
實施nginx和keepalived的規劃、安裝、配置等步驟

前面的 《統一web訪問層方案》 中就目的、目標和整體方案進行了討論,本文討論具體的實施。簡單來說就是在兩臺服務器上分別部署NginX,并通過keepalived實現高可用。

1 規劃和準備

需要統一訪問的應用系統:

應用系統 域名/虛擬目錄 應用服務器及URL
svn dev.mycompany.com/svn http://50.1.1.21/svn
svn web管理 dev.mycompany.com/submin http://50.1.1.21/submin
網站 www.mycompany.com http://50.1.1.10; http://50.1.1.11; http://50.1.1.12
OA oa.mycompany.com http://50.1.1.13:8080; http://50.1.1.14:8080

web訪問服務器

用兩臺接入服務器50.1.1.3/4分別作為主、備(MASTER、BACKUP)服務器,使用RHEL5.6x64,配置了yum 私服。

兩臺接入服務器公用一個虛擬IP(VIP):50.1.1.2

2 安裝

兩臺接入服務器分別安裝NginX和keepalived: 

      
        
          #準備依賴包:
        
        

    yum -y install gcc pcre-devel zlib-devel openssl-devel

    

    
        
          #下載
        
        

    wget http://nginx.org/download/nginx-1.2.4.tar.gz 

    wget http://www.keepalived.org/software/keepalived-1.2.7.tar.gz

    

    
        
          #安裝NginX
        
        

    tar zxvf nginx-1.2.4.tar.gz

    
        
          cd 
        
        nginx-1.2.4

    ./configure

    make 
        
          &&
        
         make install



    
        
          #安裝keepalived
        
        

    tar zxvf keepalived-1.2.7.tar.gz

    
        
          cd 
        
        keepalived-1.2.7

    ./configure

    make 

    make install



    cp /usr/local/etc/rc.d/init.d/keepalived /etc/rc.d/init.d/

    cp /usr/local/etc/sysconfig/keepalived /etc/sysconfig/

    mkdir /etc/keepalived

    cp /usr/local/etc/keepalived/keepalived.conf /etc/keepalived/

    cp /usr/local/sbin/keepalived /usr/sbin/



    
        
          #加入啟動
        
        
          echo
        
        
          "/usr/local/nginx/sbin/nginx"
        
         >> /etc/rc.local

    
        
          echo
        
        
          "/etc/init.d/keepalived start"
        
         >> /etc/rc.local

3 配置

兩臺接入服務器的NginX的配置完全一樣,主要是配置/usr/local/nginx/conf/nginx.conf的http。其中多域名 指向是通過虛擬主機(配置http下面的server)實現;同一域名的不同虛擬目錄通過每個server下面的不同location實現;到后端的服務 器在http下面配置upstream,然后在server或location中通過proxypass引用。要實現前面規劃的接入方式,http的配置 如下: 

      
        
          http
        
        
          {
        
        
          include
        
        
          mime
        
        
          .
        
        
          types
        
        
          ;
        
        
          default_type
        
        
          application
        
        
          /
        
        
          octet
        
        
          -
        
        
          stream
        
        
          ;
        
        
          sendfile
        
        
          on
        
        
          ;
        
        
          upstream
        
        
          dev
        
        
          .
        
        
          hysec
        
        
          .
        
        
          com
        
        
          {
        
        
          server
        
        
          50.1.1.21
        
        
          :
        
        
          80
        
        
          ;
        
        
          }
        
        
          upstream
        
        
          www
        
        
          .
        
        
          hysec
        
        
          .
        
        
          com
        
        
          {
        
        
          ip_hash
        
        
          ;
        
        
          server
        
        
          50.1.1.10
        
        
          :
        
        
          80
        
        
          ;
        
        
          server
        
        
          50.1.1.11
        
        
          :
        
        
          80
        
        
          ;
        
        
          server
        
        
          50.1.1.12
        
        
          :
        
        
          80
        
        
          ;
        
        
          }
        
        
          upstream
        
        
          oa
        
        
          .
        
        
          hysec
        
        
          .
        
        
          com
        
        
          {
        
        
          ip_hash
        
        
          ;
        
        
          server
        
        
          50.1.1.13
        
        
          :
        
        
          8080
        
        
          ;
        
        
          server
        
        
          50.1.1.14
        
        
          :
        
        
          8080
        
        
          ;
        
        
          server
        
        
          {
        
        
          listen
        
        
          80
        
        
          ;
        
        
          server_name
        
        
          dev
        
        
          .
        
        
          hysec
        
        
          .
        
        
          com
        
        
          ;
        
        
          location
        
        
          /
        
        
          svn
        
        
          {
        
        
          proxy_pass
        
        
          http
        
        
          :
        
        
          //dev.hysec.com;
        
        
          }
        
        
          location
        
        
          /
        
        
          submin
        
        
          {
        
        
          proxy_pass
        
        
          http
        
        
          :
        
        
          //dev.hysec.com;
        
        
          }
        
        
          }
        
        
          server
        
        
          {
        
        
          listen
        
        
          80
        
        
          ;
        
        
          server_name
        
        
          www
        
        
          .
        
        
          hysec
        
        
          .
        
        
          com
        
        
          ;
        
        
          location
        
        
          /
        
        
          {
        
        
          proxy_pass
        
        
          http
        
        
          :
        
        
          //www.hysec.com;
        
        
          }
        
        
          server
        
        
          {
        
        
          listen
        
        
          80
        
        
          ;
        
        
          server_name
        
        
          oa
        
        
          .
        
        
          hysec
        
        
          .
        
        
          com
        
        
          ;
        
        
          location
        
        
          /
        
        
          {
        
        
          proxy_pass
        
        
          http
        
        
          :
        
        
          //oa.hysec.com;
        
        
          }
        
        
          }

驗證方法:

首先用IP訪問前表中各個應用服務器的url,再用域名和路徑訪問前表中各個應用系統的域名/虛擬路徑

按照上面的安裝方法,keepalived的配置文件在/etc/keepalived/keepalived.conf。主、從服務器的配置相關聯但有所不同。如下:

  • Master配置 
      
        
          !
        
        
          Configuration
        
        
          File
        
        
          for
        
        
          keepalived
        
        
          global_defs
        
        
          {
        
        
          notification_email
        
        
          {
        
        
          wanghaikuo
        
        
          @
        
        
          hysec
        
        
          .
        
        
          com
        
        
          wanghaikuo
        
        
          @
        
        
          gmail
        
        
          .
        
        
          com
        
        
          }
        
        
          notification_email_from
        
        
          wanghaikuo
        
        
          @
        
        
          hysec
        
        
          .
        
        
          com
        
        
          smtp_server
        
        
          smtp
        
        
          .
        
        
          hysec
        
        
          .
        
        
          com
        
        
          smtp_connect_timeout
        
        
          30
        
        
          router_id
        
        
          nginx_master
        
        
          }
        
        
          vrrp_instance
        
        
          VI_1
        
        
          {
        
        
          state
        
        
          MASTER
        
        
          interface
        
        
          eth0
        
        
          virtual_router_id
        
        
          51
        
        
          priority
        
        
          101
        
        
          advert_int
        
        
          1
        
        
          authentication
        
        
          {
        
        
          auth_type
        
        
          PASS
        
        
          auth_pass
        
        
          1111
        
        
          }
        
        
          virtual_ipaddress
        
        
          {
        
        
          50.1.1.2
        
        
          }
        
        
          }
  • Backup配置 
      
        
          !
        
        
          Configuration
        
        
          File
        
        
          for
        
        
          keepalived
        
        
          global_defs
        
        
          {
        
        
          notification_email
        
        
          {
        
        
          wanghaikuo
        
        
          @
        
        
          hysec
        
        
          .
        
        
          com
        
        
          wanghaikuo
        
        
          @
        
        
          gmail
        
        
          .
        
        
          com
        
        
          }
        
        
          notification_email_from
        
        
          wanghaikuo
        
        
          @
        
        
          hysec
        
        
          .
        
        
          com
        
        
          smtp_server
        
        
          smtp
        
        
          .
        
        
          hysec
        
        
          .
        
        
          com
        
        
          smtp_connect_timeout
        
        
          30
        
        
          router_id
        
        
          nginx_backup
        
        
          }
        
        
          vrrp_instance
        
        
          VI_1
        
        
          {
        
        
          state
        
        
          BACKUP
        
        
          interface
        
        
          eth0
        
        
          virtual_router_id
        
        
          51
        
        
          priority
        
        
          99
        
        
          advert_int
        
        
          1
        
        
          authentication
        
        
          {
        
        
          auth_type
        
        
          PASS
        
        
          auth_pass
        
        
          1111
        
        
          }
        
        
          virtual_ipaddress
        
        
          {
        
        
          50.1.1.2
        
        
          }
        
        
          }

驗證:

  1. 先后在主、從服務器上啟動keepalived:

    /etc/init.d/keepalived start

  2. 在主服務器上查看是否已經綁定了虛擬IP:

    ip addr

  3. 停止主服務器上的keepalived:

    /etc/init.d/keepalived stop

  4. 然后在從服務器上查看是否已經綁定了虛擬IP

  5. 啟動主服務器上的keepalived,看看主服務器能否重新接管虛擬IP

經過前面的配置,如果主服務器的keepalived停止服務,從服務器會自動接管VIP對外服務;一旦主服務器的keepalived恢復,會重新接管VIP。 但這并不是我們需要的,我們需要的是當NginX停止服務的時候能夠自動切換。

keepalived支持配置監控腳本,我們可以通過腳本監控NginX的狀態,如果狀態不正常則進行一系列的操作,最終仍不能恢復NginX則殺掉keepalived,使得從服務器能夠接管服務。

如何監控NginX的狀態 最簡單的做法是監控NginX進程,更靠譜的做法是檢查NginX端口,最靠譜的做法是檢查多個url能否獲取到頁面。

如何嘗試恢復服務 如果發現NginX不正常,重啟之。等待3秒再次校驗,仍然失敗則不再嘗試。

根據上述策略很容易寫出監控腳本。這里使用nmap檢查nginx端口來判斷nginx的狀態,記得要首先安裝nmap。監控腳本如下: 

      
        
          #!/bin/sh
        
        
          # check nginx server status
        
        
          NGINX
        
        
          =
        
        /usr/local/nginx/sbin/nginx

    
        
          PORT
        
        
          =
        
        80



    nmap localhost -p 
        
          $PORT
        
        
          |
        
         grep 
        
          "$PORT/tcp open"
        
        
          #echo $?
        
        
          if
        
        
          [
        
        
          $?
        
         -ne 0 
        
          ]
        
        
          ;
        
        
          then
        
        
          $NGINX
        
         -s stop

        
        
          $NGINX
        
        

        sleep 3

        nmap localhost -p 
        
          $PORT
        
        
          |
        
         grep 
        
          "$PORT/tcp open"
        
        
          [
        
        
          $?
        
         -ne 0 
        
          ]
        
        
          &&
        
         /etc/init.d/keepalived stop

    
        
          fi

不要忘了設置腳本的執行權限,否則不起作用。

假設上述腳本放在/opt/chk_nginx.sh,則keepalived.conf中增加如下配置: 

      
        
          vrrp_script
        
        
          chk_http_port
        
        
          {
        
        
          script
        
        
          "/opt/chk_nginx.sh"
        
        
          interval
        
        
          2
        
        
          weight
        
        
          2
        
        
          }
        
        
          track_script
        
        
          {
        
        
          chk_http_port
        
        
          }

更進一步,為了避免啟動keepalived之前沒有啟動nginx , 可以在/etc/init.d/keepalived的start中首先啟動nginx: 

      
        
          start
        
        
          ()
        
        
          {
        
        
          /
        
        
          usr
        
        
          /
        
        
          local
        
        
          /
        
        
          nginx
        
        
          /
        
        
          sbin
        
        
          /
        
        
          nginx
        
        
          sleep
        
        
          3
        
        
          echo
        
        
          -
        
        
          n
        
        
          $
        
        
          "Starting $prog: "
        
        
          daemon
        
        
          keepalived
        
        
          $
        
        
          {
        
        
          KEEPALIVED_OPTIONS
        
        
          }
        
        
          RETVAL
        
        
          =
        
        
          $
        
        
          ?
        
        
          echo
        
        
          [
        
        
          $
        
        
          RETVAL
        
        
          -
        
        
          eq
        
        
          0
        
        
          ]
        
        
          &&
        
        
          touch
        
        
          /
        
        
          var
        
        
          /
        
        
          lock
        
        
          /
        
        
          subsys
        
        
          /
        
        
          $
        
        
          prog
        
        
          }

4 還可以做什么

對于簡單重復性勞動,人總是容易犯錯,這種事情最好交給機器去做。 比如,在這個案例中,作為統一接入服務器,可能經常要修改nginx的配置、nginx下面的html文件等。而且,一定要保證集群中的每臺服務器的配置 相同。 最好的做法是由配置管理服務器來管理,如果沒有,也可以使用簡單的linux文件同步來解決。

5 支持https

需要安裝openSSL: 

    
      yum install openssl-devel

在nginx/conf下生成秘鑰: 

      
        
          #生成RSA密鑰
        
        

    openssl dsaparam -rand -genkey -out myRSA.key 1024



    
        
          #生成CA密鑰:(要輸入一個自己記得的密碼)
        
        

    openssl gendsa -des3 -out cert.key myRSA.key



    
        
          #用這個CA密鑰來創建證書,需要上一步創建的密碼
        
        

    openssl req -new -x509 -days 365 -key cert.key -out cert.pem



    
        
          #把證書設置為root專用
        
        

    chmod 700 cert.*



    
        
          #生成免密碼文件
        
        

    openssl rsa -in cert.key -out cert.key.unsecure

如果要啟用SSL,首先在安裝nginx是要增加配置參數:--with-http_ssl_module , 然后在nginx中進行如下配置: 

      
        
          #
        
        
          這里是
        
        
          SSL
        
        
          的相關配置
        
        
          server
        
        
          {
        
        
          listen
        
        
          443
        
        
          ;
        
        
          server_name
        
        
          www
        
        
          .
        
        
          example
        
        
          .
        
        
          com
        
        
          ;
        
        
          #
        
        
          你自己的域名
        
        
          root
        
        
          /
        
        
          home
        
        
          /
        
        
          www
        
        
          ;
        
        
          ssl
        
        
          on
        
        
          ;
        
        
          ssl_certificate
        
        
          cert
        
        
          .
        
        
          perm
        
        
          ;
        
        
          #使用
        
        
          .
        
        
          unsecure
        
        
          文件可以在
        
        
          nginx
        
        
          啟動時不輸入密碼
        
        
          ssl_certificate_key
        
        
          cert
        
        
          .
        
        
          key
        
        
          .
        
        
          unsecure
        
        
          ;
        
        
          location
        
        
          /
        
        
          {
        
        
          #
        
        
          ...
        
        
          }
        
        
          }

公共證書的申請過程:

  1. 生成RSA(私鑰)文件:

    openssl genrsa -des3 -out myRSA.key 2048

  2. 生成csr文件:

    openssl req -new -key myRSA.key -out my.csr

  3. 將csr提交給證書機構,比如GlobalSign。

  4. 證書機構會返回私有證書(crt)和中級證書(crt)

  5. 到機構網站下載根證書(root_CA.cer), 將根證書拼接到私有證書之后

  6. 在nginx中配置證書: 

      
        
          ssl_certificate
        
        
          /
        
        
          etc
        
        
          /
        
        
          ssl
        
        
          /
        
        
          my
        
        
          .
        
        
          crt
        
        
          ;
        
        
          ssl_certificate_key
        
        
          /
        
        
          etc
        
        
          /
        
        
          ssl
        
        
          /
        
        
          myRSA
        
        
          .
        
        
          key
        
        
          ;
        
        
          ssl_client_certificate
        
        
          /
        
        
          etc
        
        
          /
        
        
          ssl
        
        
          /
        
        
          root_CA
        
        
          .
        
        
          cer
        
        
          ;

6 支持webservice

通過chunkin-nginx-module模塊支持webservice。

否則會報錯:411:http 頭中缺少 Conten-Length 參數

步驟: 

      
            git clone https://github.com/agentzh/chunkin-nginx-module.git



    
        
          #重新編譯nginx
        
        
          cd 
        
        PATH/TO/NGINX/SOURCE

    ./configure xxx --add-module
        
          =
        
        /PATH/TO/chunkin-nginx-module

    make 
        
          &&
        
         make install

在nginx的server{}節點中增加配置: 

      
        
          chunkin
        
        
          on
        
        
          ;
        
        
          error_page
        
        
          411
        
        
          =
        
        
          @
        
        
          my_411_error
        
        
          ;
        
        
          location
        
        
          @
        
        
          my_411_error
        
        
          {
        
        
          chunkin_resume
        
        
          ;
        
        
          }

7 狀態監控

編譯時需要增加 --with-http_stub_status_module 參數。

查看編譯參數:使用命令 /usr/local/nginx/sbin/nginx -V

安裝好之后增加配置: 

      
        
          location
        
        
          /nginx_status
        
        
          {
        
        
          stub_status
        
        
          on
        
        
          ;
        
        
          access_log
        
        
          off
        
        
          ;
        
        
          # deny all;
        
        
          allow
        
        
          all
        
        
          ;
        
        
          }

重新加載配置后,會看到一些文本:

Active connections: 1 (對后端發起的活動連接數)

server accepts handled requests

5 5 5 (處理連接個數,成功握手次數,處理請求數)

用nginX+keepalived實現高可用的負載均衡


更多文章、技術交流、商務合作、聯系博主

微信掃碼或搜索:z360901061

微信掃一掃加我為好友

QQ號聯系: 360901061

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。

【本文對您有幫助就好】

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描上面二維碼支持博主2元、5元、10元、自定義金額等您想捐的金額吧,站長會非常 感謝您的哦?。。?/p>

發表我的評論
最新評論 總共0條評論
主站蜘蛛池模板: 99国内视频| 日韩中文字幕在线 | 97在线视频免费播放 | www.性视频| 久久久青草青青国产亚洲免观 | 国产亚洲综合久久 | 亚洲欧美日韩图片 | 高清欧美一级在线观看 | 黄色免费看视频 | 奇米6666| 一级黄色录像免费观看 | 丁香综合在线 | 性色生活免费看性大片 | 国内精品久久久久影院中国 | 国产精品免费看久久久麻豆 | 日日插天天干 | 哥也操| 久色精品 | 国产精品成人观看视频免费 | 自拍偷拍一区 | 国产精品区一区二区免费 | 精品99视频 | 国产亚洲精品自在久久不卡 | 亚洲欧美综合在线观看 | 日韩免费在线视频观看 | julia中文字幕在线 | va亚洲va日韩不卡在线观看 | 有码在线 | 亚洲一区在线日韩在线深爱 | 色综色天天综合网 | 欧美精品在线播放 | 国产精品免费入口视频 | 国产福利视频一区二区三区 | 免费国产一区二区三区四区 | 黄色小视频免费看 | 日韩欧美高清视频 | 99精品在线观看视频 | 一级黄色影片 | 99国产高清久久久久久网站 | 欧美一区永久视频免费观看 | 成人小视频免费在线观看 |