Keepalived + NGINX 高可用負載平衡架構實作手冊

 

一:方案概述

  • 目標:建構一個具備自動故障切換能力的 L4/L7 負載平衡系統
  • 工具:
    • NGINX Open Source:提供 HTTP/TCP 負載平衡能力
    • Keepalived:利用 VRRP 協定達成主備節點的自動切換
  • 適用情境:
    • 中小型內網服務
    • 私有雲、API Gateway 前端
    • 無需購買 F5 等昂貴設備但又需穩定性的場域

二:系統架構圖

  • 包含:
    • 用戶端 → VIP
    • 主節點(Primary NGINX + Keepalived)
    • 備節點(Backup NGINX + Keepalived)
    • 後端伺服器群
  • VIP(虛擬 IP)會在主機與備機之間切換,提供單一進入點

三:Keepalived 自動切換的原理說明

  • 基於 VRRP 協定

    • 主節點定時透過 LAN 廣播「我還在」的訊號(advertisement)
    • 備節點監聽這些訊號

  • 當主節點:

    • 拔掉網路線

    • NGINX 異常並被 track_script 偵測

    • 關機、系統異常

    • 停止 keepalived

      → 備節點會在 3 秒內自動判斷主節點已失效,搶下 VIP

  • 備節點會發送 gratuitous ARP 更新網段,客戶端會自動連到新的 VIP 位置

四:完整安裝與設定流程

✅ 1. 安裝元件(兩台都要)


sudo apt update
sudo apt install -y nginx keepalived

✅ 2. NGINX 設定範例(兩台相同)


upstream backend {
    server 192.168.0.21;
    server 192.168.0.22;
}
server {
    listen 80;
    location / {
        proxy_pass <http://backend>;
    }
}

✅ 3. Keepalived 設定(主 + 備)

主機:/etc/keepalived/keepalived.conf


vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1234
    }
    virtual_ipaddress {
        192.168.0.100
    }
    track_script {
        chk_nginx
    }
}

備機:將 state 改為 BACKUPpriority 調低,例如 90

五:NGINX 健康監控腳本(防止 NGINX 掛掉仍持有 VIP)

/etc/keepalived/check_nginx.sh


#!/bin/bash
curl -sf <http://localhost/> > /dev/null || exit 1
exit 0

加權腳本配置(加入於主備機 keepalived.conf


vrrp_script chk_nginx {
    script "/etc/keepalived/check_nginx.sh"
    interval 2
    weight -20
    fall 2
    rise 1
}

六:故障模擬與驗證

  • 拔掉主機網路線 → VIP 轉移至備機
  • 停止 nginx → VIP 被搶走
  • 恢復主機 → VIP 是否搶回依 nopreempt 設定而定
  • 使用 ip a 確認 VIP 是否切換
  • 使用 journalctl -u keepalived 查看日誌紀錄

七:延伸應用與建議

留言

張貼留言

這個網誌中的熱門文章

windows server 「虛擬化型保護的程式碼完整性」(Virtualization Based Protection of Code Integrity,VBS) 功能說明與設定

圖片
 這個功能是 Windows 的一項安全機制,用於確保只有經過信任的程式碼才能在系統上執行,從而防止惡意軟體或未經授權的修改。 VBS 的重要性 VBS 能有效防禦以下威脅: 驅動程式攻擊: 惡意軟體常透過偽裝成驅動程式來取得系統控制權,VBS 能有效阻擋這類攻擊。 程式碼注入: 駭客試圖將惡意程式碼注入合法程式,VBS 能偵測並阻止這類行為。 記憶體攻擊: 惡意軟體常利用記憶體漏洞進行攻擊,VBS 能強化記憶體保護,降低風險。 停用 VBS 的原因 VBS 雖然能提升安全性,但某些情況下可能會被停用: 相容性問題: 部分較舊的硬體或軟體可能與 VBS 不相容,導致系統不穩定。 效能影響: VBS 會佔用一些系統資源,對極度講求效能的環境可能有些微影響。 設定錯誤: 系統管理員可能因誤操作或其他原因而意外停用 VBS。 建議處理方式 強烈建議您重新啟用 VBS,以增強伺服器的安全性。以下為啟用步驟: 檢查相容性: 確認您的硬體符合 VBS 的最低需求 (如:支援虛擬化技術的處理器)。 更新所有驅動程式和軟體至最新版本。 若有不相容的軟體,考慮尋找替代方案或聯絡軟體供應商尋求支援。 啟用 VBS: 開啟 Windows PowerShell (系統管理員)。 輸入以下指令並執行: PowerShell Enable-WindowsOptionalFeature -Online -FeatureName VirtualMachinePlatform 請 謹慎使用 程式碼。 content_copy 重新啟動伺服器。 驗證: 再次執行安全掃描,確認 VBS 已成功啟用。 若問題仍然存在,可參考 Microsoft 官方文件或尋求技術支援。 額外建議 定期更新: 持續更新作業系統、驅動程式和軟體,以確保獲得最新的安全修補。 多層次防護: 除了 VBS,搭配防火牆、防毒軟體等其他安全措施,建立更全面的防護網。 監控與記錄: 定期檢視系統日誌,及早發現並處理異常活動。 重要提醒 啟用 VBS 後,請密切觀察伺服器的穩定性和效能。若出現任何異常,可考慮暫時停用 VBS 並進一步分析問題。 解決方法 虛擬化型安全性 (VBS) 利用硬體虛擬化和 Windows* Hypervi...
閱讀完整內容

linux server - 檢查nvidia driver 異常並自動重新開機

此bash腳本,可以檢查nvidia-smi命令的輸出是否包含"driver/library version mismatch"字串,如果包含則重新啟動系統: bash Copy code #!/bin/bash # 執行nvidia-smi命令並捕獲輸出 output = $( nvidia-smi 2 > &1 ) # 檢查輸出中是否包含"driver/library version mismatch"字串 if [ [ $output == * "driver/library version mismatch" * ] ] ; then echo "發現NVIDIA驅動程式版本不匹配錯誤,系統將重新啟動..." # 以root權限重新啟動系統 sudo reboot else echo "NVIDIA驅動程式版本正常" fi 說明: 第一行 #!/bin/bash 指定使用bash shell來執行腳本。 第4行使用 nvidia-smi 命令並將其輸出(包括錯誤訊息)存入變數 output 中。 第7行使用 [[ ]] 結構來檢查 output 變數的值是否包含"driver/library version mismatch"字串。 如果包含,則輸出警告訊息並使用 sudo reboot 命令以root權限重新啟動系統。 如果不包含,則輸出"NVIDIA驅動程式版本正常"。 使用方式: 將上述腳本內容保存為一個文件,例如 nvidia_check.sh 。 給予執行權限: chmod +x nvidia_check.sh 。 執行腳本: ./nvidia_check.sh 。 根據需要,您可以將此腳本加入定期維護任務(cron job)中,定期檢查NVIDIA驅動程式版本是否匹配。
閱讀完整內容

Docker 應用: 再以建置好container狀況下 如何透過json設定檔設定 在修改 Working Directory 和 Restart Policy 設定

  大家好!今天我們來聊聊如何透過修改Docker 容器的設定文件,設定Working Directory(工作目錄)和Restart Policy(重啟策略)。這種方法雖然有點“黑科技”,但掌握後會讓你在Docker 的使用上更加得心應手。準備好了嗎?讓我們開始吧! 步驟一:準備工作 首先,我們需要確保已經有一個運作中的Docker 容器。假設我們有一個名為 baai_m3 的容器,它是透過以下命令建立的: 巴什 複製程式碼 docker run --gpus all -it -p 8006:8006 --name baai_m3 -v $( pwd ):/baai_m3 nvidia/cuda:12.1.0-devel-ubuntu22.04 /bin/bash 現在,我們要透過設定檔設定它的工作目錄和重新啟動策略。 步驟二:停止容器 在進行設定檔修改之前,必須先停止容器: 巴什 複製程式碼 docker stop baai_m3 步驟三:修改config.v2.json 文件 找到容器的ID: 巴什 複製程式碼 docker inspect --format= "{{.Id}}"   baai_m3 假設我們得到了一個類似 abc123def456 的容器ID。 開啟 config.v2.json 文件: 巴什 複製程式碼 sudo nano /var/lib/docker/containers/abc123def456/config.v2.json 找到或新增 "WorkingDir" 設定: json 複製程式碼 { ... "Path" : "/bin/bash" , "Args" : [ ] , "WorkingDir" : "/baai_m3" , ... } 確保你在文件中添加了 "WorkingDir": "/baai_m3" 。 步驟四:修改hostconfig.json 文件 開啟 hostconfig.json 文件: 巴什 複製程式碼 sudo nano /var/lib/docker/containe...
閱讀完整內容