集群架构-https-keepalived补充

一、https

1.1 优化

1.2 https原理

1.3抓包https

1.3.1系统变量配置

1.3.2Pre-Master-Secre配置

注意事项：
- 文件要创建
- 配置完重启软件，浏览器，还不行再重启系统
- 检查ssl，log是否大于0
- 然后访问blog（解析到7）测试抓包过滤tcp.port == 443 结果中有http就是成功，没有就是重复执行

二、高可用

2.1 keepalived监控服务

默认是监控的系统，网络，keepalived才会进行主备切换
我们还希望ngx服务异常也要进行主备切换

我们需要书写监控脚本（lb01）通过keepalived调用
- 对端口，进程url（curl，看状态码）
- 过滤ngx端口是否存在，如果不存在则关闭keepalived，然后主备切换

lb01上操作

#进入配置文件
vim /etc/keepalived/keepalived.conf

#内容：
! Configuration File for keepalived
global_defs {
router_id lb01
}
vrrp_script check_port {
script “/server/scripts/check_port.sh”
interval 2
}
vrrp_instance vip_3 {
state MASTER
interface ens33
virtual_router_id 51
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
10.0.0.3 dev ens33 lable ens33:0
}
track_script {
check_port
}
}

#编辑check_port.sh文件
vim /server/scripts/check_port.sh

#内容
#1.vars
port=80
time=`

date +%F_%w_%T`
#2.
port_count=`ss -lntup | grep -w 80 | wc -l

`
#3.
if [ $port_count -eq 0 ];then
systemctl stop keepalived
echo “$time ngx端口$port没了，进行主备切换” >>/var/log/check_port.log
fi

#给check_port.sh添加x权限
chmod +x /server/scripts/check_port.sh

#运行check_port.sh
注意：要先关闭nginx，否则check_port.sh无效，10.0.0.3不会消失

2.2 故障：脑裂/裂脑

原因
解决

1.防火墙没有放行对应的数据包或ip 224.0.0.18
2.keepalived配置不当
3.网络问题，路线

1.调用api或智能开关，备节点有vip就让主节点关闭
2.监控备节点有vip就提示异常
3.加入第三方节点，裁判（仲裁）