Keepalived時主備負載均衡器都有VIP的問題:VRRP協議問題

原創 gblfy 2020-05-04 15:37

文章目錄

一、企業案例背景

搭建了keepalived 主備集羣,master節點權重100,slave節點權重是80,按照評測的話,master和slave節點都啓動keepalived服務後,虛擬vip正常應該在master節點,slave節點不顯示虛擬vip;當master節點的keepalived服務宕機後,虛擬vip會漂移到slave節點上,繼續提供keepalived服務後服務。

二、異常現象

但是master和slave節點都出現了虛擬vip,這種現象和咱們預估的結果不一樣。但是關閉防火牆後和咱們預估的結果一樣,說明和防火牆有關。

三、分析結論+解決思路
3.1. 分析結論

通過不停的查找問題,我發現,只需要關閉備用負載均衡器的防火牆,那麼主備服務器都有VIP的情況就會得以解決。由此可以肯定,問題就是出現在了防火牆這裏。
首先用tcpdump查看一下vrrp的組播情況,這個隨便在同網絡的任意一臺服務器抓包即可:

tcpdump -i ens33 vrrp -n

查看下抓包的結果:
在這裏插入圖片描述

由上圖可以看到,192.168.0.114和192.168.0.112兩個IP在輪流發送組播信號。而正常的應該是由MASTER服務器發送組播,如果BACKUP收不到MASTER的組播信號了,那麼判定MASTER宕機了,BACKUP就會接手VIP。

3.2. 解決思路

如果關閉防火牆,keepalived問題解決了,那麼問題就簡單了,我們只需要讓VRRP組播其通過防火牆即可。

四、SElinux 處理
4.1. 查看SElinux的狀態:
getenforce

可能的結果有三個:

Enforcing         #強制開啓

Permissive        #寬容模式

Disabled          #關閉
4.2. 關閉SElinux
#編輯config
sudo vim /etc/selinux/config
#2.把下面2行註釋掉
#SELINUX=enforcing 
#SELINUXTYPE=targeted
#3.添加一行配置
SELINUX=disabled 
:wq!  #保存退出
setenforce 0 #使配置立即生效
五、Firewalld防火牆配置

centos 防火牆有兩種管理方式firewall, iptables兩者不能同時開啓
適用於centos7.x系統

5.1. 開啓vrrp 協議

主備都運行下面的命令

sudo firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 0  --protocol vrrp -j ACCEPT
5.2. 重新啓動防火牆
firewall-cmd --reload
5.3. 查看啓動日誌

master節點
在這裏插入圖片描述
slave節點
在這裏插入圖片描述
從上面截圖中可以看出,由於 with higher priority 100, ours 80很明顯114權重比112的權重大,虛擬vip在192.168.0.114上。

5.4. 虛擬ip驗證

master節點
在這裏插入圖片描述
slave節點
在這裏插入圖片描述

5.5. 停止master節點的keepalived

master節點
在這裏插入圖片描述
slave節點
在這裏插入圖片描述

六、Iptables防火牆配置

適用於centos6.x系統
我們只需要在防火牆中增加一條規則即可:

6.1. 配置增加一條防火牆規則
-A INPUT -p vrrp -j ACCEPT
6.2. 防火牆規則注意事項

但是這裏有個坑,默認的防火牆中基本是如下配置:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

添加規則一定不要在

-A INPUT -j REJECT --reject-with icmp-host-prohibited

之後,一定要加在其前面。
在這裏插入圖片描述
這時候重啓防火牆後查看BACKUP的ip,就會發現VIP已經不在了。
再關閉一下MASTER的keepalived,並打開BACKUP的日誌,就可以看到正確的內容

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

基於 Docker 的幾種常用 CentOS7 鏡像

目錄1 安裝 Docker2 配置國內鏡像源3 製作中文環境基礎版Centos7鏡像3.1 Dockerfile3.2 啓動容器3.3 在容器中安裝配置一些基礎服務3.4 SSH3.5 【可選】修改容器配置3.5.1 通過容器的配

YoreYuan 2020-07-08 09:55:10

Centos7 安裝ODBC訪問 Mysql

1、安裝 unixODBC yum install unixODBC unixODBC-devel libtool-ltdl libtool-ltdl-devel 2、安裝 MySQL Connector/ODBC  在mysql網站下

陈年椰子 2020-07-07 19:09:56

Centos7 打開關閉串口

1、查看firewall服務狀態 systemctl status firewalld 2、查看firewall的狀態 firewall-cmd --state 3、開啓、重啓、關閉、firewalld.service服務 #

ljp345775 2020-07-04 22:21:14

win10+centos7+Anaconda3+python+pytorch

安裝Anaconda3 直接去清華的鏡像進行下載,因爲官網進不去,下載Anaconda3-2019.03-Linux-x86_64.sh 也可以命令行下載 wget https://mirrors.tuna.tsinghua.edu.cn

flying_1314 2020-07-01 17:10:28

誤刪 python 導致 yum 失效,yum不是內部或外部命令

恢復過程異常艱辛,特別是找對應的包,不過能解決問題記錄下 https://www.cnblogs.com/ilovepython/p/11068844.html  

Tang__Vi 2020-07-01 05:39:13

三分鐘搭建自己的Maven私服倉庫 - Centos 7安裝Nexus3

拉取官方unix安裝包 wget https://sonatype-download.global.ssl.fastly.net/repository/downloads-prod-group/3/nexus-3.24.0-02-

清晨先生 2020-06-30 23:17:03

centos7 無法聯網可能的解決方案

如果出現無法聯網的問題 然後輸入 systemctl stop NetworkManagersystemctl disable NetworkManagerservice network restart

专注大数据开发 2020-06-30 08:23:34

Centos7.7安裝及配置教程

文章目錄VMware15 Pro安裝CentOS7.7安裝CentOS7.7下載編輯虛擬機設置虛擬機配置Centos7.7配置網卡配置驗證網卡配置防火牆設置小結參考文獻 之前安裝過一次,不過後來電腦格式化後,沒有及時恢復虛擬機,直

hresh 2020-06-29 19:57:06

Linux Centos7下通過yum源安裝Nginx

環境準備 Linux發行版本:Centos7 增加nginx yum源 進入到yum源配置目錄,創建文件nginx.repo,增加yum源信息 [admin@localhost yum.repos.d]$ cd /etc/yu

STIll_clx 2020-06-29 13:04:28

Linux Centos7下安裝telnet服務

1. 查看是否已經安裝telnet [admin@localhost ~]$ rpm -qa telnet-server [admin@localhost ~]$ rpm -qa xinetd 2. 安裝telnet 查找yu

STIll_clx 2020-06-29 13:04:16

docker pull 鏡像很慢解決

將docker鏡像源修改爲國內的: 在 /etc/docker/daemon.json 文件中添加以下參數(沒有該文件則新建): 複製代碼 { "registry-mirrors": ["https://9cpn8tt6.mirro

Tang__Vi 2020-06-29 05:40:39

Centos7 - 上搭建http服務器以及設置目錄訪問

1. 安裝httpd服務 sudo yum install httpd Apache 的所有配置文件都位於 /etc/httpd/conf 和 /etc/httpd/conf.d 網站的數據默認位於 /var/www,

早起的虫子 2020-06-29 02:30:27

CentOS7管理firewalld防火牆

1、firewalld的基本使用 啓動: systemctl start firewalld 查看狀態: systemctl status firewalld 停止: systemctl disable firewalld 禁用: sy

AD钙奶可不要贪杯 2020-06-27 11:22:18

ensp router+mstp+vrrp+單nat

router+mstp+vrrp+單nat 拓撲圖 使用技術 使用到的技術: 單區域ospf dhcp nat mstp vrrp+track 端口聚合 接入層 huijuA s

lik_lik 2020-07-05 21:09:42

防火牆+route+vrrp+mstp

防火牆+route+vrrp+mstp 拓撲圖 使用技術 使用到的技術: 單區域ospf dhcp nat mstp vrrp+track 鏈路聚合 telnet+aaa

lik_lik 2020-07-05 21:09:42