集群管理核心：如何用Keepalived实现网关高可用

Keepalived 实现网关高可用的核心是 VRRP 协议自动协商主备角色、秒级 VIP 切换，关键在于配置逻辑清晰、检测真实有效、网络路径可控；VIP 绑定需精准，依赖二层组播通信，健康检查须反映真实网关能力，防脑裂需仲裁机制，部署后必须验证日志与状态。

Keepalived 实现网关高可用，核心是用 VRRP 协议让多台服务器自动协商主备角色，故障时秒级切换 VIP（虚拟 IP），对外呈现单一网关入口。关键不在装软件，而在配置逻辑清晰、检测真实有效、网络路径可控。

主备角色与 VIP 绑定必须精准

Keepalived 不转发流量，只管理 VIP 的归属。主节点将 VIP 绑定到本地网卡（如 eth0），备节点静默等待；主宕机后，备节点通过 VRRP 抢占并绑定同一 VIP。若物理网卡未启用、防火墙拦截 VRRP 组播（224.0.0.18）、或子网掩码/VLAN 配置不一致，VIP 就无法漂移。

• 确保所有节点在同一二层网络，VRRP 使用组播通信，跨三层需特殊配置（如单播 unicast_peer）
• VIP 必须和真实网关 IP 在同一网段，且不能与任何物理接口 IP 冲突
• Linux 启用 arp_ignore 和 arp_announce，避免 ARP 缓存混乱导致流量发往旧主

健康检查要反映真实网关能力

仅靠 Keepalived 自带的 ping 或 TCP 端口检测不够——网关进程活着，但上游链路断了、NAT 规则失效、或负载过载无法响应，仍会误导切换判断。建议结合业务特征定制检测逻辑。

• 用 track_script 调用 Shell 脚本：curl 检查网关管理接口返回码、telnet 测试 upstream 连通性、或读取 /proc/sys/net/ipv4/ip_forward 确认转发功能开启
• 脚本返回 0 表示健康，非 0 则触发权重降级或直接 fail；keepalived 会根据 weight 变化重新选举主节点
• 检测间隔设为 1–2 秒，超时阈值不宜过短（如少于 3 次失败就切），避免抖动误切

双主模式需谨慎设计防脑裂

两台都 claim VIP 是典型脑裂，会导致流量被随机分发甚至丢弃。Keepalived 默认单主，如需双主（例如分担不同业务网段），必须引入外部仲裁或严格隔离检测路径。

• 禁用 nopreempt 除非明确需要手动接管；默认 preemption=true，主恢复后自动抢回 VIP
• 若用双主，每个实例配置独立 vrrp_instance + 不同 virtual_router_id，并配不同 VIP 和 track_script
• 强烈建议加入 fencing 机制：如通过 etcd key TTL、SSH 远程执行 iptables 丢弃规则，或物理交换机联动，确保最多一台持有 VIP

日志与状态验证不可跳过

部署后不验证等于没配。Keepalived 日志默认输出到 syslog（/var/log/messages），但关键事件（如切换、脚本执行结果）需主动确认。

• 用 ip addr show 查看 VIP 是否出现在预期网卡上
• 运行 sudo systemctl status keepalived 和 sudo kill -USR1 $(pidof keepalived) 触发状态 dump，查看当前 state（MASTER/BACKUP）、priority、advert_int
• 模拟故障：systemctl stop keepalived 或拔网线，观察切换时间（通常