keepalived是一个类似于heartbeat 的 failover工具,跟heartbeat原理不同,keepalived基于vrrp (虚拟路由冗余协议)。
keepalived 经常用于高可用场合,通常搭配LVS,nginx,haproxy等负载均衡器,是一个成熟的高可用方案。
keepalived 两个主机不能正常通信,除了配置错误之外,通常是由于防火墙的原因,很多资料都没有提及这点,难道让服务器裸奔不成。请检查防火墙规则符合下面的条件:
1、keepalived 默认需要使用D类多播地址224.0.0.18 进行心跳通信
2、keepalived 使用vrp协议进行通信(协议号码为112)
防火墙示例 (仅在CentOS下测试通过)
#!/usr/bin/env bash
lan=10.0.0.0/24
# Flush the current iptables rules
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT ACCEPT
# Allow related,established connection
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
# Always trust lookback interface
/sbin/iptables -A INPUT -i lo -j ACCEPT
# Allow but limit ssh connection
/sbin/iptables -A INPUT -s $lan -p tcp --dport 22 -m recent --set --name ssh --rsource
/sbin/iptables -A INPUT -s $lan -p tcp --dport 22 -m recent ! --rcheck --seconds 60 --hitcount 10 --name ssh --rsource -j ACCEPT
# web service for public
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Open some ports to local network only
#ntp
/sbin/iptables -A INPUT -s $lan -p udp --dport 123 -j ACCEPT
#snmp
/sbin/iptables -A INPUT -s $lan -p udp --dport 161 -j ACCEPT
#rsync
/sbin/iptables -A INPUT -s $lan -p tcp --dport 873 -j ACCEPT
#nrpe
/sbin/iptables -A INPUT -s $lan -p tcp --dport 5666 -j ACCEPT
# keepalived
/sbin/iptables -A INPUT -i eth1 -d 224.0.0.0/8 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p 112 -j ACCEPT
#
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
#
/etc/init.d/iptables save
/sbin/iptables -n -v -L
检测两个keepalived主机之间是否能通信的办法有
1、停掉一个keepalived,看另外一个keepalived的日志/var/log/messages 里是否有新的日志
2、用嗅探器抓包,例如:
tcpdump -v -i eth1 host 224.0.0.18
tcpdump -vvv -n -i eth1 host 224.0.0.18