摘要:
實施nginx和keepalived的規劃、安裝、配置等步驟
前面的 《統一web訪問層方案》 中就目的、目標和整體方案進行了討論,本文討論具體的實施。簡單來說就是在兩臺服務器上分別部署NginX,并通過keepalived實現高可用。
1 規劃和準備
需要統一訪問的應用系統:
應用系統 | 域名/虛擬目錄 | 應用服務器及URL |
---|---|---|
svn | dev.mycompany.com/svn | http://50.1.1.21/svn |
svn web管理 | dev.mycompany.com/submin | http://50.1.1.21/submin |
網站 | www.mycompany.com | http://50.1.1.10; http://50.1.1.11; http://50.1.1.12 |
OA | oa.mycompany.com | http://50.1.1.13:8080; http://50.1.1.14:8080 |
web訪問服務器
用兩臺接入服務器50.1.1.3/4分別作為主、備(MASTER、BACKUP)服務器,使用RHEL5.6x64,配置了yum 私服。
兩臺接入服務器公用一個虛擬IP(VIP):50.1.1.2
2 安裝
兩臺接入服務器分別安裝NginX和keepalived:
#準備依賴包:
yum -y install gcc pcre-devel zlib-devel openssl-devel
#下載
wget http://nginx.org/download/nginx-1.2.4.tar.gz
wget http://www.keepalived.org/software/keepalived-1.2.7.tar.gz
#安裝NginX
tar zxvf nginx-1.2.4.tar.gz
cd
nginx-1.2.4
./configure
make
&&
make install
#安裝keepalived
tar zxvf keepalived-1.2.7.tar.gz
cd
keepalived-1.2.7
./configure
make
make install
cp /usr/local/etc/rc.d/init.d/keepalived /etc/rc.d/init.d/
cp /usr/local/etc/sysconfig/keepalived /etc/sysconfig/
mkdir /etc/keepalived
cp /usr/local/etc/keepalived/keepalived.conf /etc/keepalived/
cp /usr/local/sbin/keepalived /usr/sbin/
#加入啟動
echo
"/usr/local/nginx/sbin/nginx"
>> /etc/rc.local
echo
"/etc/init.d/keepalived start"
>> /etc/rc.local
3 配置
3.1 配置NginX
兩臺接入服務器的NginX的配置完全一樣,主要是配置/usr/local/nginx/conf/nginx.conf的http。其中多域名 指向是通過虛擬主機(配置http下面的server)實現;同一域名的不同虛擬目錄通過每個server下面的不同location實現;到后端的服務 器在http下面配置upstream,然后在server或location中通過proxypass引用。要實現前面規劃的接入方式,http的配置 如下:
http
{
include
mime
.
types
;
default_type
application
/
octet
-
stream
;
sendfile
on
;
upstream
dev
.
hysec
.
com
{
server
50.1.1.21
:
80
;
}
upstream
www
.
hysec
.
com
{
ip_hash
;
server
50.1.1.10
:
80
;
server
50.1.1.11
:
80
;
server
50.1.1.12
:
80
;
}
upstream
oa
.
hysec
.
com
{
ip_hash
;
server
50.1.1.13
:
8080
;
server
50.1.1.14
:
8080
;
server
{
listen
80
;
server_name
dev
.
hysec
.
com
;
location
/
svn
{
proxy_pass
http
:
//dev.hysec.com;
}
location
/
submin
{
proxy_pass
http
:
//dev.hysec.com;
}
}
server
{
listen
80
;
server_name
www
.
hysec
.
com
;
location
/
{
proxy_pass
http
:
//www.hysec.com;
}
server
{
listen
80
;
server_name
oa
.
hysec
.
com
;
location
/
{
proxy_pass
http
:
//oa.hysec.com;
}
}
驗證方法:
首先用IP訪問前表中各個應用服務器的url,再用域名和路徑訪問前表中各個應用系統的域名/虛擬路徑
3.2 配置keepalived
按照上面的安裝方法,keepalived的配置文件在/etc/keepalived/keepalived.conf。主、從服務器的配置相關聯但有所不同。如下:
- Master配置
!
Configuration
File
for
keepalived
global_defs
{
notification_email
{
wanghaikuo
@
hysec
.
com
wanghaikuo
@
gmail
.
com
}
notification_email_from
wanghaikuo
@
hysec
.
com
smtp_server
smtp
.
hysec
.
com
smtp_connect_timeout
30
router_id
nginx_master
}
vrrp_instance
VI_1
{
state
MASTER
interface
eth0
virtual_router_id
51
priority
101
advert_int
1
authentication
{
auth_type
PASS
auth_pass
1111
}
virtual_ipaddress
{
50.1.1.2
}
}
- Backup配置
!
Configuration
File
for
keepalived
global_defs
{
notification_email
{
wanghaikuo
@
hysec
.
com
wanghaikuo
@
gmail
.
com
}
notification_email_from
wanghaikuo
@
hysec
.
com
smtp_server
smtp
.
hysec
.
com
smtp_connect_timeout
30
router_id
nginx_backup
}
vrrp_instance
VI_1
{
state
BACKUP
interface
eth0
virtual_router_id
51
priority
99
advert_int
1
authentication
{
auth_type
PASS
auth_pass
1111
}
virtual_ipaddress
{
50.1.1.2
}
}
驗證:
-
先后在主、從服務器上啟動keepalived:
/etc/init.d/keepalived start
-
在主服務器上查看是否已經綁定了虛擬IP:
ip addr
-
停止主服務器上的keepalived:
/etc/init.d/keepalived stop
-
然后在從服務器上查看是否已經綁定了虛擬IP
-
啟動主服務器上的keepalived,看看主服務器能否重新接管虛擬IP
3.3 讓keepalived監控NginX的狀態
經過前面的配置,如果主服務器的keepalived停止服務,從服務器會自動接管VIP對外服務;一旦主服務器的keepalived恢復,會重新接管VIP。 但這并不是我們需要的,我們需要的是當NginX停止服務的時候能夠自動切換。
keepalived支持配置監控腳本,我們可以通過腳本監控NginX的狀態,如果狀態不正常則進行一系列的操作,最終仍不能恢復NginX則殺掉keepalived,使得從服務器能夠接管服務。
如何監控NginX的狀態 最簡單的做法是監控NginX進程,更靠譜的做法是檢查NginX端口,最靠譜的做法是檢查多個url能否獲取到頁面。
如何嘗試恢復服務 如果發現NginX不正常,重啟之。等待3秒再次校驗,仍然失敗則不再嘗試。
根據上述策略很容易寫出監控腳本。這里使用nmap檢查nginx端口來判斷nginx的狀態,記得要首先安裝nmap。監控腳本如下:
#!/bin/sh
# check nginx server status
NGINX
=
/usr/local/nginx/sbin/nginx
PORT
=
80
nmap localhost -p
$PORT
|
grep
"$PORT/tcp open"
#echo $?
if
[
$?
-ne 0
]
;
then
$NGINX
-s stop
$NGINX
sleep 3
nmap localhost -p
$PORT
|
grep
"$PORT/tcp open"
[
$?
-ne 0
]
&&
/etc/init.d/keepalived stop
fi
不要忘了設置腳本的執行權限,否則不起作用。
假設上述腳本放在/opt/chk_nginx.sh,則keepalived.conf中增加如下配置:
vrrp_script
chk_http_port
{
script
"/opt/chk_nginx.sh"
interval
2
weight
2
}
track_script
{
chk_http_port
}
更進一步,為了避免啟動keepalived之前沒有啟動nginx , 可以在/etc/init.d/keepalived的start中首先啟動nginx:
start
()
{
/
usr
/
local
/
nginx
/
sbin
/
nginx
sleep
3
echo
-
n
$
"Starting $prog: "
daemon
keepalived
$
{
KEEPALIVED_OPTIONS
}
RETVAL
=
$
?
echo
[
$
RETVAL
-
eq
0
]
&&
touch
/
var
/
lock
/
subsys
/
$
prog
}
4 還可以做什么
對于簡單重復性勞動,人總是容易犯錯,這種事情最好交給機器去做。 比如,在這個案例中,作為統一接入服務器,可能經常要修改nginx的配置、nginx下面的html文件等。而且,一定要保證集群中的每臺服務器的配置 相同。 最好的做法是由配置管理服務器來管理,如果沒有,也可以使用簡單的linux文件同步來解決。
5 支持https
需要安裝openSSL:
yum install openssl-devel
在nginx/conf下生成秘鑰:
#生成RSA密鑰
openssl dsaparam -rand -genkey -out myRSA.key 1024
#生成CA密鑰:(要輸入一個自己記得的密碼)
openssl gendsa -des3 -out cert.key myRSA.key
#用這個CA密鑰來創建證書,需要上一步創建的密碼
openssl req -new -x509 -days 365 -key cert.key -out cert.pem
#把證書設置為root專用
chmod 700 cert.*
#生成免密碼文件
openssl rsa -in cert.key -out cert.key.unsecure
如果要啟用SSL,首先在安裝nginx是要增加配置參數:--with-http_ssl_module , 然后在nginx中進行如下配置:
#
這里是
SSL
的相關配置
server
{
listen
443
;
server_name
www
.
example
.
com
;
#
你自己的域名
root
/
home
/
www
;
ssl
on
;
ssl_certificate
cert
.
perm
;
#使用
.
unsecure
文件可以在
nginx
啟動時不輸入密碼
ssl_certificate_key
cert
.
key
.
unsecure
;
location
/
{
#
...
}
}
公共證書的申請過程:
-
生成RSA(私鑰)文件:
openssl genrsa -des3 -out myRSA.key 2048
-
生成csr文件:
openssl req -new -key myRSA.key -out my.csr
-
將csr提交給證書機構,比如GlobalSign。
-
證書機構會返回私有證書(crt)和中級證書(crt)
-
到機構網站下載根證書(root_CA.cer), 將根證書拼接到私有證書之后
-
在nginx中配置證書:
ssl_certificate
/
etc
/
ssl
/
my
.
crt
;
ssl_certificate_key
/
etc
/
ssl
/
myRSA
.
key
;
ssl_client_certificate
/
etc
/
ssl
/
root_CA
.
cer
;
6 支持webservice
通過chunkin-nginx-module模塊支持webservice。
否則會報錯:411:http 頭中缺少 Conten-Length 參數
步驟:
git clone https://github.com/agentzh/chunkin-nginx-module.git
#重新編譯nginx
cd
PATH/TO/NGINX/SOURCE
./configure xxx --add-module
=
/PATH/TO/chunkin-nginx-module
make
&&
make install
在nginx的server{}節點中增加配置:
chunkin
on
;
error_page
411
=
@
my_411_error
;
location
@
my_411_error
{
chunkin_resume
;
}
7 狀態監控
編譯時需要增加
--with-http_stub_status_module
參數。
查看編譯參數:使用命令
/usr/local/nginx/sbin/nginx -V
安裝好之后增加配置:
location
/nginx_status
{
stub_status
on
;
access_log
off
;
# deny all;
allow
all
;
}
重新加載配置后,會看到一些文本:
Active connections: 1 (對后端發起的活動連接數)
server accepts handled requests
5 5 5 (處理連接個數,成功握手次數,處理請求數)
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061

微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
