Redis哨兵模式(sentinel)學習總結及部署記錄(主從複製、讀寫分離、主從切換)
Redis的叢集方案大致有三種:1)redis cluster叢集方案;2)master/slave主從方案;3)哨兵模式來進行主從替換以及故障恢復。
一、sentinel哨兵模式介紹
Sentinel(哨兵)是用於監控redis叢集中Master狀態的工具,是Redis 的高可用性解決方案,sentinel哨兵模式已經被整合在redis2.4之後的版本中。sentinel是redis高可用的解決方案,sentinel系統可以監視一個或者多個redis master服務,以及這些master服務的所有從服務;當某個master服務下線時,自動將該master下的某個從服務升級為master服務替代已下線的master服務繼續處理請求。
sentinel可以讓redis實現主從複製,當一個叢集中的master失效之後,sentinel可以選舉出一個新的master用於自動接替master的工作,叢集中的其他redis伺服器自動指向新的master同步資料。一般建議sentinel採取奇數臺,防止某一臺sentinel無法連線到master導致誤切換。其結構如下:
Redis-Sentinel是Redis官方推薦的高可用性(HA)解決方案,當用Redis做Master-slave的高可用方案時,假如master宕機了,Redis本身(包括它的很多客戶端)都沒有實現自動進行主備切換,而Redis-sentinel本身也是一個獨立執行的程序,它能監控多個master-slave叢集,發現master宕機後能進行自動切換。Sentinel由一個或多個Sentinel 例項 組成的Sentinel 系統可以監視任意多個主伺服器,以及這些主伺服器屬下的所有從伺服器,並在被監視的主伺服器進入下線狀態時,自動將下線主伺服器屬下的某個從伺服器升級為新的主伺服器。
例如下圖所示:
在Server1 掉線後:
升級Server2 為新的主伺服器:
Sentinel版本
Sentinel當前最新的穩定版本稱為Sentinel 2(與之前的Sentinel 1區分開來)。隨著redis2.8的安裝包一起發行。安裝完Redis2.8後,可以在redis2.8/src/裡面找到Redis-sentinel的啟動程式。
強烈建議:如果你使用的是redis2.6(sentinel版本為sentinel 1),你最好應該使用redis2.8版本的sentinel 2,因為sentinel 1有很多的Bug,已經被官方棄用,所以強烈建議使用redis2.8以及sentinel 2。
Sentinel狀態持久化
snetinel的狀態會被持久化地寫入sentinel的配置檔案中。每次當收到一個新的配置時,或者新建立一個配置時,配置會被持久化到硬碟中,並帶上配置的版本戳。這意味著,可以安全的停止和重啟sentinel程序。
Sentinel作用:
1)Master狀態檢測
2)如果Master異常,則會進行Master-Slave切換,將其中一個Slave作為Master,將之前的Master作為Slave。
3)Master-Slave切換後,master_redis.conf、slave_redis.conf和sentinel.conf的內容都會發生改變,即master_redis.conf中會多一行slaveof的配置,sentinel.conf的監控目標會隨之調換。
Sentinel工作方式(每個Sentinel例項都執行的定時任務)
1)每個Sentinel以每秒鐘一次的頻率向它所知的Master,Slave以及其他 Sentinel 例項傳送一個PING命令。
2)如果一個例項(instance)距離最後一次有效回覆PING命令的時間超過 own-after-milliseconds 選項所指定的值,則這個例項會被Sentinel標記為主觀下線。
3)如果一個Master被標記為主觀下線,則正在監視這個Master的所有 Sentinel 要以每秒一次的頻率確認Master的確進入了主觀下線狀態。
4)當有足夠數量的Sentinel(大於等於配置檔案指定的值)在指定的時間範圍內確認Master的確進入了主觀下線狀態,則Master會被標記為客觀下線。
5)在一般情況下,每個Sentinel 會以每10秒一次的頻率向它已知的所有Master,Slave傳送 INFO 命令。
6)當Master被Sentinel標記為客觀下線時,Sentinel 向下線的 Master 的所有Slave傳送 INFO命令的頻率會從10秒一次改為每秒一次。
7)若沒有足夠數量的Sentinel同意Master已經下線,Master的客觀下線狀態就會被移除。 若 Master重新向Sentinel 的PING命令返回有效回覆,Master的主觀下線狀態就會被移除。
三個定時任務
sentinel在內部有3個定時任務
1)每10秒每個sentinel會對master和slave執行info命令,這個任務達到兩個目的:
a)發現slave節點
b)確認主從關係
2)每2秒每個sentinel通過master節點的channel交換資訊(pub/sub)。master節點上有一個釋出訂閱的頻道(__sentinel__:hello)。sentinel節點通過__sentinel__:hello頻道進行資訊交換(對節點的"看法"和自身的資訊),達成共識。
3)每1秒每個sentinel對其他sentinel和redis節點執行ping操作(相互監控),這個其實是一個心跳檢測,是失敗判定的依據。
主觀下線
所謂主觀下線(Subjectively Down, 簡稱 SDOWN)指的是單個Sentinel例項對伺服器做出的下線判斷,即單個sentinel認為某個服務下線(有可能是接收不到訂閱,之間的網路不通等等原因)。
主觀下線就是說如果伺服器在down-after-milliseconds給定的毫秒數之內, 沒有返回 Sentinel 傳送的 PING 命令的回覆, 或者返回一個錯誤, 那麼 Sentinel 將這個伺服器標記為主觀下線(SDOWN )。
sentinel會以每秒一次的頻率向所有與其建立了命令連線的例項(master,從服務,其他sentinel)發ping命令,通過判斷ping回覆是有效回覆,還是無效回覆來判斷例項時候線上(對該sentinel來說是“主觀線上”)。
sentinel配置檔案中的down-after-milliseconds設定了判斷主觀下線的時間長度,如果例項在down-after-milliseconds毫秒內,返回的都是無效回覆,那麼sentinel回認為該例項已(主觀)下線,修改其flags狀態為SRI_S_DOWN。如果多個sentinel監視一個服務,有可能存在多個sentinel的down-after-milliseconds配置不同,這個在實際生產中要注意。
客觀下線
客觀下線(Objectively Down, 簡稱 ODOWN)指的是多個 Sentinel 例項在對同一個伺服器做出 SDOWN 判斷, 並且通過 SENTINEL is-master-down-by-addr 命令互相交流之後, 得出的伺服器下線判斷,然後開啟failover。
客觀下線就是說只有在足夠數量的 Sentinel 都將一個伺服器標記為主觀下線之後, 伺服器才會被標記為客觀下線(ODOWN)。
只有當master被認定為客觀下線時,才會發生故障遷移。
當sentinel監視的某個服務主觀下線後,sentinel會詢問其它監視該服務的sentinel,看它們是否也認為該服務主觀下線,接收到足夠數量(這個值可以配置)的sentinel判斷為主觀下線,既任務該服務客觀下線,並對其做故障轉移操作。
sentinel通過傳送 SENTINEL is-master-down-by-addr ip port current_epoch runid,(ip:主觀下線的服務id,port:主觀下線的服務埠,current_epoch:sentinel的紀元,runid:*表示檢測服務下線狀態,如果是sentinel 執行id,表示用來選舉領頭sentinel)來詢問其它sentinel是否同意服務下線。
一個sentinel接收另一個sentinel發來的is-master-down-by-addr後,提取引數,根據ip和埠,檢測該服務時候在該sentinel主觀下線,並且回覆is-master-down-by-addr,回覆包含三個引數:down_state(1表示已下線,0表示未下線),leader_runid(領頭sentinal id),leader_epoch(領頭sentinel紀元)。
sentinel接收到回覆後,根據配置設定的下線最小數量,達到這個值,既認為該服務客觀下線。
客觀下線條件只適用於主伺服器: 對於任何其他型別的 Redis 例項, Sentinel 在將它們判斷為下線前不需要進行協商, 所以從伺服器或者其他 Sentinel 永遠不會達到客觀下線條件。只要一個 Sentinel 發現某個主伺服器進入了客觀下線狀態, 這個 Sentinel 就可能會被其他 Sentinel 推選出, 並對失效的主伺服器執行自動故障遷移操作。
在redis-sentinel的conf檔案裡有這麼兩個配置:
1)sentinel monitor <masterName> <ip> <port> <quorum>
四個引數含義:
masterName這個是對某個master+slave組合的一個區分標識(一套sentinel是可以監聽多套master+slave這樣的組合的)。
ip 和 port 就是master節點的 ip 和 埠號。
quorum這個引數是進行客觀下線的一個依據,意思是至少有 quorum 個sentinel主觀的認為這個master有故障,才會對這個master進行下線以及故障轉移。因為有的時候,某個sentinel節點可能因為自身網路原因,導致無法連線master,而此時master並沒有出現故障,所以這就需要多個sentinel都一致認為該master有問題,才可以進行下一步操作,這就保證了公平性和高可用。
2)sentinel down-after-milliseconds <masterName> <timeout>
這個配置其實就是進行主觀下線的一個依據,masterName這個引數不用說了,timeout是一個毫秒值,表示:如果這臺sentinel超過timeout這個時間都無法連通master包括slave(slave不需要客觀下線,因為不需要故障轉移)的話,就會主觀認為該master已經下線(實際下線需要客觀下線的判斷通過才會下線)
那麼,多個sentinel之間是如何達到共識的呢?
這就是依賴於前面說的第二個定時任務,某個sentinel先將master節點進行一個主觀下線,然後會將這個判定通過sentinel is-master-down-by-addr這個命令問對應的節點是否也同樣認為該addr的master節點要做客觀下線。最後當達成這一共識的sentinel個數達到前面說的quorum設定的這個值時,就會對該master節點下線進行故障轉移。quorum的值一般設定為sentinel個數的二分之一加1,例如3個sentinel就設定2。
主觀下線(SDOWN)和客觀下線(ODOWN)的更多細節
sentinel對於不可用有兩種不同的看法,一個叫主觀不可用(SDOWN),另外一個叫客觀不可用(ODOWN)。SDOWN是sentinel自己主觀上檢測到的關於master的狀態,ODOWN需要一定數量的sentinel達成一致意見才能認為一個master客觀上已經宕掉,各個sentinel之間通過命令SENTINEL is_master_down_by_addr來獲得其它sentinel對master的檢測結果。
從sentinel的角度來看,如果傳送了PING心跳後,在一定時間內沒有收到合法的回覆,就達到了SDOWN的條件。這個時間在配置中通過is-master-down-after-milliseconds引數配置。
當sentinel傳送PING後,以下回復之一都被認為是合法的:
PING replied with +PONG.
PING replied with -LOADING error.
PING replied with -MASTERDOWN error.
其它任何回覆(或者根本沒有回覆)都是不合法的。
從SDOWN切換到ODOWN不需要任何一致性演算法,只需要一個gossip協議:如果一個sentinel收到了足夠多的sentinel發來訊息告訴它某個master已經down掉了,SDOWN狀態就會變成ODOWN狀態。如果之後master可用了,這個狀態就會相應地被清理掉。
正如之前已經解釋過了,真正進行failover需要一個授權的過程,但是所有的failover都開始於一個ODOWN狀態。
ODOWN狀態只適用於master,對於不是master的redis節點sentinel之間不需要任何協商,slaves和sentinel不會有ODOWN狀態。
配置版本號
為什麼要先獲得大多數sentinel的認可時才能真正去執行failover呢?
當一個sentinel被授權後,它將會獲得宕掉的master的一份最新配置版本號,當failover執行結束以後,這個版本號將會被用於最新的配置。因為大多數sentinel都已經知道該版本號已經被要執行failover的sentinel拿走了,所以其他的sentinel都不能再去使用這個版本號。這意味著,每次failover都會附帶有一個獨一無二的版本號。我們將會看到這樣做的重要性。而且,sentinel叢集都遵守一個規則:如果sentinel A推薦sentinel B去執行failover,B會等待一段時間後,自行再次去對同一個master執行failover,這個等待的時間是通過failover-timeout配置項去配置的。從這個規則可以看出,sentinel叢集中的sentinel不會再同一時刻併發去failover同一個master,第一個進行failover的sentinel如果失敗了,另外一個將會在一定時間內進行重新進行failover,以此類推。
redis sentinel保證了活躍性:如果大多數sentinel能夠互相通訊,最終將會有一個被授權去進行failover.
redis sentinel也保證了安全性:每個試圖去failover同一個master的sentinel都會得到一個獨一無二的版本號。
配置傳播
一旦一個sentinel成功地對一個master進行了failover,它將會把關於master的最新配置通過廣播形式通知其它sentinel,其它的sentinel則更新對應master的配置。
一個faiover要想被成功實行,sentinel必須能夠向選為master的slave傳送SLAVEOF NO ONE命令,然後能夠通過INFO命令看到新master的配置資訊。
當將一個slave選舉為master併發送SLAVEOF NO ONE後,即使其它的slave還沒針對新master重新配置自己,failover也被認為是成功了的,然後所有sentinels將會發布新的配置資訊。
新配在叢集中相互傳播的方式,就是為什麼我們需要當一個sentinel進行failover時必須被授權一個版本號的原因。
每個sentinel使用##釋出/訂閱##的方式持續地傳播master的配置版本資訊,配置傳播的##釋出/訂閱##管道是:__sentinel__:hello。
因為每一個配置都有一個版本號,所以以版本號最大的那個為標準。
舉個例子:
假設有一個名為mymaster的地址為192.168.10.202:6379。一開始,叢集中所有的sentinel都知道這個地址,於是為mymaster的配置打上版本號1。一段時候後mymaster死了,有一個sentinel被授權用版本號2對其進行failover。如果failover成功了,假設地址改為了192.168.10.202:9000,此時配置的版本號為2,進行failover的sentinel會將新配置廣播給其他的sentinel,由於其他sentinel維護的版本號為1,發現新配置的版本號為2時,版本號變大了,說明配置更新了,於是就會採用最新的版本號為2的配置。
這意味著sentinel叢集保證了第二種活躍性:一個能夠互相通訊的sentinel叢集最終會採用版本號最高且相同的配置。
sentinel的"仲裁會"
前面我們談到,當一個master被sentinel叢集監控時,需要為它指定一個引數,這個引數指定了當需要判決master為不可用,並且進行failover時,所需要的sentinel數量,可以稱這個引數為票數
不過,當failover主備切換真正被觸發後,failover並不會馬上進行,還需要sentinel中的大多數sentinel授權後才可以進行failover。
當ODOWN時,failover被觸發。failover一旦被觸發,嘗試去進行failover的sentinel會去獲得“大多數”sentinel的授權(如果票數比大多數還要大的時候,則詢問更多的sentinel)
這個區別看起來很微妙,但是很容易理解和使用。例如,叢集中有5個sentinel,票數被設定為2,當2個sentinel認為一個master已經不可用了以後,將會觸發failover,但是,進行failover的那個sentinel必須先獲得至少3個sentinel的授權才可以實行failover。
如果票數被設定為5,要達到ODOWN狀態,必須所有5個sentinel都主觀認為master為不可用,要進行failover,那麼得獲得所有5個sentinel的授權。
選舉領頭sentinel(即領導者選舉)
一個redis服務被判斷為客觀下線時,多個監視該服務的sentinel協商,選舉一個領頭sentinel,對該redis服務進行故障轉移操作。選舉領頭sentinel遵循以下規則:
1)所有的sentinel都有公平被選舉成領頭的資格。
2)所有的sentinel都有且只有一次將某個sentinel選舉成領頭的機會(在一輪選舉中),一旦選舉某個sentinel為領頭,不能更改。
3)sentinel設定領頭sentinel是先到先得,一旦當前sentinel設定了領頭sentinel,以後要求設定sentinel為領頭請求都會被拒絕。
4)每個發現服務客觀下線的sentinel,都會要求其他sentinel將自己設定成領頭。
5)當一個sentinel(源sentinel)向另一個sentinel(目sentinel)傳送is-master-down-by-addr ip port current_epoch runid命令的時候,runid引數不是*,而是sentinel執行id,就表示源sentinel要求目標sentinel選舉其為領頭。
6)源sentinel會檢查目標sentinel對其要求設定成領頭的回覆,如果回覆的leader_runid和leader_epoch為源sentinel,表示目標sentinel同意將源sentinel設定成領頭。
7)如果某個sentinel被半數以上的sentinel設定成領頭,那麼該sentinel既為領頭。
8)如果在限定時間內,沒有選舉出領頭sentinel,暫定一段時間,再選舉。
為什麼要選領導者?
簡單來說,就是因為只能有一個sentinel節點去完成故障轉移。
sentinel is-master-down-by-addr這個命令有兩個作用,一是確認下線判定,二是進行領導者選舉。
選舉過程:
1)每個做主觀下線的sentinel節點向其他sentinel節點發送上面那條命令,要求將它設定為領導者。
2)收到命令的sentinel節點如果還沒有同意過其他的sentinel傳送的命令(還未投過票),那麼就會同意,否則拒絕。
3)如果該sentinel節點發現自己的票數已經過半且達到了quorum的值,就會成為領導者
4)如果這個過程出現多個sentinel成為領導者,則會等待一段時間重新選舉。
Redis Sentinel的主從切換方案
Redis 2.8版開始正式提供名為Sentinel的主從切換方案,通俗的來講,Sentinel可以用來管理多個Redis伺服器例項,可以實現一個功能上實現HA的叢集,Sentinel主要負責三個方面的任務:
1)監控(Monitoring): Sentinel 會不斷地檢查你的主伺服器和從伺服器是否運作正常。
2)提醒(Notification): 當被監控的某個 Redis 伺服器出現問題時, Sentinel 可以通過 API 向管理員或者其他應用程式傳送通知。
3)自動故障遷移(Automatic failover): 當一個主伺服器不能正常工作時, Sentinel 會開始一次自動故障遷移操作, 它會將失效主伺服器的其中一個從伺服器升級為新的主伺服器, 並讓失效主伺服器的其他從伺服器改為複製新的主伺服器; 當客戶端試圖連線失效的主伺服器時, 叢集也會向客戶端返回新主伺服器的地址, 使得叢集可以使用新主伺服器代替失效伺服器。
Redis Sentinel 是一個分散式系統, 可以在一個架構中執行多個 Sentinel 程序(progress), 這些程序使用流言協議(gossip protocols)來接收關於主伺服器是否下線的資訊, 並使用投票協議(agreement protocols)來決定是否執行自動故障遷移, 以及選擇哪個從伺服器作為新的主伺服器。
一個簡單的主從結構加sentinel叢集的架構圖如下:
上圖是一主一從節點,加上兩個部署了sentinel的叢集,sentinel叢集之間會互相通訊,溝通交流redis節點的狀態,做出相應的判斷並進行處理,這裡的主觀下線狀態和客觀下線狀態是比較重要的狀態,它們決定了是否進行故障轉移
可以 通過訂閱指定的頻道資訊,當伺服器出現故障得時候通知管理員
客戶端可以將 Sentinel 看作是一個只提供了訂閱功能的 Redis 伺服器,你不可以使用 PUBLISH 命令向這個伺服器傳送資訊,但你可以用 SUBSCRIBE 命令或者 PSUBSCRIBE 命令, 通過訂閱給定的頻道來獲取相應的事件提醒。 一個頻道能夠接收和這個頻道的名字相同的事件。 比如說, 名為 +sdown 的頻道就可以接收所有例項進入主觀下線(SDOWN)狀態的事件。
個人認為,Sentinel實現的最主要的一個功能就是能做到自動故障遷移,即當某一個master掛了的時候,可以自動的將某一個slave提升為新的master,且原master的所有slave也都自動的將自己的master改為新提升的master,這樣我們的程式的可用性大大提高了。只要redis安裝完成,Sentinel就安裝完成了,Sentinel整合在redis裡了。
Sentinel支援叢集(可以部署在多臺機器上,也可以在一臺物理機上通過多埠實現偽叢集部署)
很顯然,只使用單個sentinel程序來監控redis叢集是不可靠的,當sentinel程序宕掉後(sentinel本身也有單點問題,single-point-of-failure)整個集群系統將無法按照預期的方式執行。所以有必要將sentinel叢集,這樣有幾個好處:
1)即使有一些sentinel程序宕掉了,依然可以進行redis叢集的主備切換;
2)如果只有一個sentinel程序,如果這個程序執行出錯,或者是網路堵塞,那麼將無法實現redis叢集的主備切換(單點問題);
3)如果有多個sentinel,redis的客戶端可以隨意地連線任意一個sentinel來獲得關於redis叢集中的資訊。
sentinel叢集注意事項
1)只有Sentinel 叢集中大多數伺服器認定master主觀下線時master才會被認定為客觀下線,才可以進行故障遷移,也就是說,即使不管我們在sentinel monitor中設定的數是多少,就算是滿足了該值,只要達不到大多數,就不會發生故障遷移。
2)官方建議sentinel至少部署三臺,且分佈在不同機器。這裡主要考慮到sentinel的可用性,假如我們只部署了兩臺sentinel,且quorum設定為1,也可以實現自動故障遷移,但假如其中一臺sentinel掛了,就永遠不會觸發自動故障遷移,因為永遠達不到大多數sentinel認定master主觀下線了。
3)sentinel monitor配置中的master IP儘量不要寫127.0.0.1或localhost,因為客戶端,如jedis獲取master是根據這個獲取的,若這樣配置,jedis獲取的ip則是127.0.0.1,這樣就可能導致程式連線不上master
4)當sentinel 啟動後會自動的修改sentinel.conf檔案,如已發現的master的slave資訊,和叢集中其它sentinel 的資訊等,這樣即使重啟sentinel也能保持原來的狀態。注意,當叢集伺服器調整時,如更換sentinel的機器,或者新配置一個sentinel,請不要直接複製原來執行過得sentinel配置檔案,因為其裡面自動生成了以上說的那些資訊,我們應該複製一個新的配置檔案或者把自動生成的資訊給刪掉。
5)當發生故障遷移的時候,master的變更記錄與slave更換master的修改會自動同步到redis的配置檔案,這樣即使重啟redis也能保持變更後的狀態。
每個 Sentinel 都需要定期執行的任務
每個 Sentinel 以每秒鐘一次的頻率向它所知的主伺服器、從伺服器以及其他 Sentinel 例項傳送一個 PING 命令。
如果一個例項(instance)距離最後一次有效回覆 PING 命令的時間超過 down-after-milliseconds 選項所指定的值, 那麼這個例項會被 Sentinel 標記為主觀下線。 一個有效回覆可以是: +PONG 、 -LOADING 或者 -MASTERDOWN 。
如果一個主伺服器被標記為主觀下線, 那麼正在監視這個主伺服器的所有 Sentinel 要以每秒一次的頻率確認主伺服器的確進入了主觀下線狀態。
如果一個主伺服器被標記為主觀下線, 並且有足夠數量的 Sentinel (至少要達到配置檔案指定的數量)在指定的時間範圍內同意這一判斷, 那麼這個主伺服器被標記為客觀下線。
在一般情況下, 每個 Sentinel 會以每 10 秒一次的頻率向它已知的所有主伺服器和從伺服器傳送 INFO 命令。 當一個主伺服器被 Sentinel 標記為客觀下線時, Sentinel 向下線主伺服器的所有從伺服器傳送 INFO 命令的頻率會從 10 秒一次改為每秒一次。
當沒有足夠數量的 Sentinel 同意主伺服器已經下線, 主伺服器的客觀下線狀態就會被移除。 當主伺服器重新向 Sentinel 的PING 命令返回有效回覆時, 主伺服器的主管下線狀態就會被移除。
Sentinel之間和Slaves之間的自動發現機制
雖然sentinel叢集中各個sentinel都互相連線彼此來檢查對方的可用性以及互相傳送訊息。但是你不用在任何一個sentinel配置任何其它的sentinel的節點。因為sentinel利用了master的釋出/訂閱機制去自動發現其它也監控了統一master的sentinel節點。
通過向名為__sentinel__:hello的管道中傳送訊息來實現。
同樣,你也不需要在sentinel中配置某個master的所有slave的地址,sentinel會通過詢問master來得到這些slave的地址的。
每個sentinel通過向每個master和slave的釋出/訂閱頻道__sentinel__:hello每秒傳送一次訊息,來宣佈它的存在。
每個sentinel也訂閱了每個master和slave的頻道__sentinel__:hello的內容,來發現未知的sentinel,當檢測到了新的sentinel,則將其加入到自身維護的master監控列表中。
每個sentinel傳送的訊息中也包含了其當前維護的最新的master配置。如果某個sentinel發現
自己的配置版本低於接收到的配置版本,則會用新的配置更新自己的master配置。
在為一個master新增一個新的sentinel前,sentinel總是檢查是否已經有sentinel與新的sentinel的程序號或者是地址是一樣的。如果是那樣,這個sentinel將會被刪除,而把新的sentinel新增上去。
sentinel和redis身份驗證
當一個master配置為需要密碼才能連線時,客戶端和slave在連線時都需要提供密碼。
master通過requirepass設定自身的密碼,不提供密碼無法連線到這個master。
slave通過masterauth來設定訪問master時的密碼。
但是當使用了sentinel時,由於一個master可能會變成一個slave,一個slave也可能會變成master,所以需要同時設定上述兩個配置項。
Sentinel API
在預設情況下, Sentinel 使用 TCP 埠 26379 (普通 Redis 伺服器使用的是 6379 )。Sentinel 接受 Redis 協議格式的命令請求, 所以你可以使用 redis-cli 或者任何其他 Redis 客戶端來與 Sentinel 進行通訊。有兩種方式可以和 Sentinel 進行通訊:
1)是通過直接傳送命令來查詢被監視 Redis 伺服器的當前狀態, 以及 Sentinel 所知道的關於其他 Sentinel 的資訊, 諸如此類。
2)是使用釋出與訂閱功能, 通過接收 Sentinel 傳送的通知: 當執行故障轉移操作, 或者某個被監視的伺服器被判斷為主觀下線或者客觀下線時, Sentinel 就會發送相應的資訊。
Sentinel命令(即登入到sentinel節點後執行的命令,比如執行"redis-cli -h 192.168.10.203 -p 26379"命令後,才可以執行下面命令)
PING :返回 PONG 。
SENTINEL masters :列出所有被監視的主伺服器,以及這些主伺服器的當前狀態;
SENTINEL slaves <master name> :列出給定主伺服器的所有從伺服器,以及這些從伺服器的當前狀態;
SENTINEL get-master-addr-by-name <master name> : 返回給定名字的主伺服器的 IP 地址和埠號。 如果這個主伺服器正在執行故障轉移操作, 或者針對這個主伺服器的故障轉移操作已經完成, 那麼這個命令返回新的主伺服器的 IP 地址和埠號;
SENTINEL reset <pattern> : 重置所有名字和給定模式 pattern 相匹配的主伺服器。 pattern 引數是一個 Glob 風格的模式。 重置操作清楚主伺服器目前的所有狀態, 包括正在執行中的故障轉移, 並移除目前已經發現和關聯的, 主伺服器的所有從伺服器和 Sentinel ;
SENTINEL failover <master name> : 當主伺服器失效時, 在不詢問其他 Sentinel 意見的情況下, 強制開始一次自動故障遷移。 (不過發起故障轉移的 Sentinel 會向其他 Sentinel 傳送一個新的配置,其他 Sentinel 會根據這個配置進行相應的更新)
SENTINEL MONITOR <name> <ip> <port> <quorum> 這個命令告訴sentinel去監聽一個新的master
SENTINEL REMOVE <name> 命令sentinel放棄對某個master的監聽
SENTINEL SET <name> <option> <value> 這個命令很像Redis的CONFIG SET命令,用來改變指定master的配置。支援多個<option><value>。例如以下例項:SENTINEL SET objects-cache-master down-after-milliseconds 1000
只要是配置檔案中存在的配置項,都可以用SENTINEL SET命令來設定。這個還可以用來設定master的屬性,比如說quorum(票數),而不需要先刪除master,再重新新增master。例如:SENTINEL SET objects-cache-master quorum 5
客戶端可以通過SENTINEL get-master-addr-by-name <master name>獲取當前的主伺服器IP地址和埠號,以及SENTINEL slaves <master name>獲取所有的Slaves資訊。
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
|
增加或刪除Sentinel
由於有sentinel自動發現機制,所以新增一個sentinel到你的叢集中非常容易,你所需要做的只是監控到某個Master上,然後新新增的sentinel就能獲得其他sentinel的資訊以及master所有的slaves。
如果你需要新增多個sentinel,建議你一個接著一個新增,這樣可以預防網路隔離帶來的問題。你可以每個30秒新增一個sentinel。最後你可以用SENTINEL MASTER mastername來檢查一下是否所有的sentinel都已經監控到了master。
刪除一個sentinel顯得有點複雜:因為sentinel永遠不會刪除一個已經存在過的sentinel,即使它已經與組織失去聯絡很久了。
要想刪除一個sentinel,應該遵循如下步驟:
1)停止所要刪除的sentinel
2)傳送一個SENTINEL RESET * 命令給所有其它的sentinel例項,如果你想要重置指定master上面的sentinel,只需要把*號改為特定的名字,注意,需要一個接一個發,每次傳送的間隔不低於30秒。
3)檢查一下所有的sentinels是否都有一致的當前sentinel數。使用SENTINEL MASTER mastername 來查詢。
刪除舊master或者不可達slave
sentinel永遠會記錄好一個Master的slaves,即使slave已經與組織失聯好久了。這是很有用的,因為sentinel叢集必須有能力把一個恢復可用的slave進行重新配置。
並且,failover後,失效的master將會被標記為新master的一個slave,這樣的話,當它變得可用時,就會從新master上覆制資料。
然後,有時候你想要永久地刪除掉一個slave(有可能它曾經是個master),你只需要傳送一個SENTINEL RESET master命令給所有的sentinels,它們將會更新列表裡能夠正確地複製master資料的slave。
釋出與訂閱資訊(sentinel的日誌檔案裡可以看到這些資訊)
客戶端可以將 Sentinel 看作是一個只提供了訂閱功能的 Redis 伺服器: 你不可以使用 PUBLISH 命令向這個伺服器傳送資訊, 但你可以用 SUBSCRIBE 命令或者 PSUBSCRIBE 命令, 通過訂閱給定的頻道來獲取相應的事件提醒。
一個頻道能夠接收和這個頻道的名字相同的事件。 比如說, 名為 +sdown 的頻道就可以接收所有例項進入主觀下線(SDOWN)狀態的事件。
通過執行 "PSUBSCRIBE * "命令可以接收所有事件資訊(即訂閱所有訊息)。
以下列出的是客戶端可以通過訂閱來獲得的頻道和資訊的格式: 第一個英文單詞是頻道/事件的名字, 其餘的是資料的格式。
注意, 當格式中包含 instance details 字樣時, 表示頻道所返回的資訊中包含了以下用於識別目標例項的內容.
以下是所有可以收到的訊息的訊息格式,如果你訂閱了所有訊息的話。第一個單詞是頻道的名字,其它是資料的格式。
注意:以下的instance details的格式是:
<instance-type> <name> <ip> <port> @ <master-name> <master-ip> <master-port>
如果這個redis例項是一個master,那麼@之後的訊息就不會顯示。
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
|
可以看出,使用Sentinel命令和釋出訂閱兩種機制就能很好的實現和客戶端的整合整合:
使用get-master-addr-by-name和slaves指令可以獲取當前的Master和Slaves的地址和資訊;而當發生故障轉移時,即Master發生切換,可以通過訂閱的+switch-master事件獲得最新的Master資訊。
sentinel.conf中的notification-script
在sentinel.conf中可以配置多個sentinel notification-script <master name> <shell script-path>, 如sentinel notification-script mymaster ./check.sh
這個是在群集failover時會觸發執行指定的指令碼。指令碼的執行結果若為1,即稍後重試(最大重試次數為10);若為2,則執行結束。並且指令碼最大執行時間為60秒,超時會被終止執行。
目前會存在該指令碼被執行多次的問題,網上查詢資料獲得的解釋是:指令碼分為兩個級別, SENTINEL_LEADER 和 SENTINEL_OBSERVER ,前者僅由領頭 Sentinel 執行(一個 Sentinel),而後者由監視同一個 master 的所有 Sentinel 執行(多個 Sentinel)。
無failover時的配置糾正
即使當前沒有failover正在進行,sentinel依然會使用當前配置去設定監控的master。特別是:
1)根據最新配置確認為slaves的節點卻聲稱自己是master(上文例子中被網路隔離後的的redis3),這時它們會被重新配置為當前master的slave。
2)如果slaves連線了一個錯誤的master,將會被改正過來,連線到正確的master。
Slave選舉與優先順序
當一個sentinel準備好了要進行failover,並且收到了其他sentinel的授權,那麼就需要選舉出一個合適的slave來做為新的master。
slave的選舉主要會評估slave的以下幾個方面:
1)與master斷開連線的次數
2)Slave的優先順序
3)資料複製的下標(用來評估slave當前擁有多少master的資料)
4)程序ID
如果一個slave與master失去聯絡超過10次,並且每次都超過了配置的最大失聯時間(down-after-milliseconds),如果sentinel在進行failover時發現slave失聯,那麼這個slave就會被sentinel認為不適合用來做新master的。
更嚴格的定義是,如果一個slave持續斷開連線的時間超過
(down-after-milliseconds * 10) + milliseconds_since_master_is_in_SDOWN_state
就會被認為失去選舉資格。
符合上述條件的slave才會被列入master候選人列表,並根據以下順序來進行排序:
1)sentinel首先會根據slaves的優先順序來進行排序,優先順序越小排名越靠前。
2)如果優先順序相同,則檢視複製的下標,哪個從master接收的複製資料多,哪個就靠前。
3)如果優先順序和下標都相同,就選擇程序ID較小的那個。
一個redis無論是master還是slave,都必須在配置中指定一個slave優先順序。要注意到master也是有可能通過failover變成slave的。
如果一個redis的slave優先順序配置為0,那麼它將永遠不會被選為master。但是它依然會從master哪裡複製資料。
故障轉移
所謂故障轉移就是當master宕機,選一個合適的slave來晉升為master的操作,redis-sentinel會自動完成這個,不需要我們手動來實現。
一次故障轉移操作大致分為以下流程:
發現主伺服器已經進入客觀下線狀態。
對我們的當前叢集進行自增, 並嘗試在這個叢集中當選。
如果當選失敗, 那麼在設定的故障遷移超時時間的兩倍之後, 重新嘗試當選。 如果當選成功, 那麼執行以下步驟:
選出一個從伺服器,並將它升級為主伺服器。
向被選中的從伺服器傳送 SLAVEOF NO ONE 命令,讓它轉變為主伺服器。
通過釋出與訂閱功能, 將更新後的配置傳播給所有其他 Sentinel , 其他 Sentinel 對它們自己的配置進行更新。
向已下線主伺服器的從伺服器傳送 SLAVEOF 命令, 讓它們去複製新的主伺服器。
當所有從伺服器都已經開始複製新的主伺服器時, 領頭 Sentinel 終止這次故障遷移操作。
每當一個 Redis 例項被重新配置(reconfigured) —— 無論是被設定成主伺服器、從伺服器、又或者被設定成其他主伺服器的從伺服器 —— Sentinel 都會向被重新配置的例項傳送一個 CONFIG REWRITE 命令, 從而確保這些配置會持久化在硬盤裡。
Sentinel 使用以下規則來選擇新的主伺服器:
在失效主伺服器屬下的從伺服器當中, 那些被標記為主觀下線、已斷線、或者最後一次回覆 PING 命令的時間大於五秒鐘的從伺服器都會被淘汰。
在失效主伺服器屬下的從伺服器當中, 那些與失效主伺服器連線斷開的時長超過 down-after 選項指定的時長十倍的從伺服器都會被淘汰。
在經歷了以上兩輪淘汰之後剩下來的從伺服器中, 我們選出複製偏移量(replication offset)最大的那個從伺服器作為新的主伺服器; 如果複製偏移量不可用, 或者從伺服器的複製偏移量相同, 那麼帶有最小執行 ID 的那個從伺服器成為新的主伺服器。
Sentinel 自動故障遷移的一致性特質
Sentinel 自動故障遷移使用 Raft 演算法來選舉領頭(leader) Sentinel , 從而確保在一個給定的紀元(epoch)裡, 只有一個領頭產生。
這表示在同一個紀元中, 不會有兩個 Sentinel 同時被選中為領頭, 並且各個 Sentinel 在同一個紀元中只會對一個領頭進行投票。
更高的配置紀元總是優於較低的紀元, 因此每個 Sentinel 都會主動使用更新的紀元來代替自己的配置。
簡單來說, 可以將 Sentinel 配置看作是一個帶有版本號的狀態。 一個狀態會以最後寫入者勝出(last-write-wins)的方式(也即是,最新的配置總是勝出)傳播至所有其他 Sentinel 。
舉個例子, 當出現網路分割(network partitions)時, 一個 Sentinel 可能會包含了較舊的配置, 而當這個 Sentinel 接到其他 Sentinel 發來的版本更新的配置時, Sentinel 就會對自己的配置進行更新。
如果要在網路分割出現的情況下仍然保持一致性, 那麼應該使用 min-slaves-to-write 選項, 讓主伺服器在連線的從例項少於給定數量時停止執行寫操作, 與此同時, 應該在每個執行 Redis 主伺服器或從伺服器的機器上執行 Redis Sentinel 程序。
Sentinel 狀態的持久化
Sentinel 的狀態會被持久化在 Sentinel 配置檔案裡面。每當 Sentinel 接收到一個新的配置, 或者當領頭 Sentinel 為主伺服器建立一個新的配置時, 這個配置會與配置紀元一起被儲存到磁盤裡面。這意味著停止和重啟 Sentinel 程序都是安全的。
Sentinel 在非故障遷移的情況下對例項進行重新配置
即使沒有自動故障遷移操作在進行, Sentinel 總會嘗試將當前的配置設定到被監視的例項上面。 特別是:
根據當前的配置, 如果一個從伺服器被宣告為主伺服器, 那麼它會代替原有的主伺服器, 成為新的主伺服器, 並且成為原有主伺服器的所有從伺服器的複製物件。
那些連線了錯誤主伺服器的從伺服器會被重新配置, 使得這些從伺服器會去複製正確的主伺服器。
不過, 在以上這些條件滿足之後, Sentinel 在對例項進行重新配置之前仍然會等待一段足夠長的時間, 確保可以接收到其他 Sentinel 發來的配置更新, 從而避免自身因為儲存了過期的配置而對例項進行了不必要的重新配置。
總結來說,故障轉移分為三個步驟:
1)從下線的主服務的所有從服務裡面挑選一個從服務,將其轉成主服務
sentinel狀態資料結構中儲存了主服務的所有從服務資訊,領頭sentinel按照如下的規則從從服務列表中挑選出新的主服務;
刪除列表中處於下線狀態的從服務;
刪除最近5秒沒有回覆過領頭sentinel info資訊的從服務;
刪除與已下線的主服務斷開連線時間超過 down-after-milliseconds*10毫秒的從服務,這樣就能保留從的資料比較新(沒有過早的與主斷開連線);
領頭sentinel從剩下的從列表中選擇優先順序高的,如果優先順序一樣,選擇偏移量最大的(偏移量大說明覆制的資料比較新),如果偏移量一樣,選擇執行id最小的從服務。
2)已下線主服務的所有從服務改為複製新的主服務
挑選出新的主服務之後,領頭sentinel 向原主服務的從服務傳送 slaveof 新主服務 的命令,複製新master。
3)將已下線的主服務設定成新的主服務的從服務,當其回覆正常時,複製新的主服務,變成新的主服務的從服務
同理,當已下線的服務重新上線時,sentinel會向其傳送slaveof命令,讓其成為新主的從。
溫馨提示:還可以向任意sentinel發生sentinel failover <masterName> 進行手動故障轉移,這樣就不需要經過上述主客觀和選舉的過程。
sentinel.conf檔案配置引數解釋
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 |
|
基於以上細節知識梳理,總結出sentinel的工作原理
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 |
|