sentinel哨兵模式詳細介紹
點擊上方藍色字體,選擇“標星公眾號”
優(yōu)質(zhì)文章,第一時間送達
sentinel哨兵模式介紹
Sentinel(哨兵)是用于監(jiān)控redis集群中Master狀態(tài)的工具,是Redis 的高可用性解決方案,sentinel哨兵模式已經(jīng)被集成在redis2.4之后的版本中。sentinel是redis高可用的解決方案,sentinel系統(tǒng)可以監(jiān)視一個或者多個redis master服務,以及這些master服務的所有從服務;當某個master服務下線時,自動將該master下的某個從服務升級為master服務替代已下線的master服務繼續(xù)處理請求。
sentinel可以讓redis實現(xiàn)主從復制,當一個集群中的master失效之后,sentinel可以選舉出一個新的master用于自動接替master的工作,集群中的其他redis服務器自動指向新的master同步數(shù)據(jù)。一般建議sentinel采取奇數(shù)臺,防止某一臺sentinel無法連接到master導致誤切換。其結(jié)構(gòu)如下:
Redis-Sentinel是Redis官方推薦的高可用性(HA)解決方案,當用Redis做Master-slave的高可用方案時,假如master宕機了,Redis本身(包括它的很多客戶端)都沒有實現(xiàn)自動進行主備切換,而Redis-sentinel本身也是一個獨立運行的進程,它能監(jiān)控多個master-slave集群,發(fā)現(xiàn)master宕機后能進行自動切換。Sentinel由一個或多個Sentinel 實例 組成的Sentinel 系統(tǒng)可以監(jiān)視任意多個主服務器,以及這些主服務器屬下的所有從服務器,并在被監(jiān)視的主服務器進入下線狀態(tài)時,自動將下線主服務器屬下的某個從服務器升級為新的主服務器。
例如下圖所示:
在Server1 掉線后:
升級Server2 為新的主服務器:
Sentinel版本
Sentinel當前最新的穩(wěn)定版本稱為Sentinel 2(與之前的Sentinel 1區(qū)分開來)。隨著redis2.8的安裝包一起發(fā)行。安裝完Redis2.8后,可以在redis2.8/src/里面找到Redis-sentinel的啟動程序。
強烈建議:如果你使用的是redis2.6(sentinel版本為sentinel 1),你最好應該使用redis2.8版本的sentinel 2,因為sentinel 1有很多的Bug,已經(jīng)被官方棄用,所以強烈建議使用redis2.8以及sentinel 2。
Sentinel狀態(tài)持久化
snetinel的狀態(tài)會被持久化地寫入sentinel的配置文件中。每次當收到一個新的配置時,或者新創(chuàng)建一個配置時,配置會被持久化到硬盤中,并帶上配置的版本戳。這意味著,可以安全的停止和重啟sentinel進程。
Sentinel作用:
1)Master狀態(tài)檢測
2)如果Master異常,則會進行Master-Slave切換,將其中一個Slave作為Master,將之前的Master作為Slave。
3)Master-Slave切換后,master_redis.conf、slave_redis.conf和sentinel.conf的內(nèi)容都會發(fā)生改變,即master_redis.conf中會多一行slaveof的配置,sentinel.conf的監(jiān)控目標會隨之調(diào)換。
Sentinel工作方式(每個Sentinel實例都執(zhí)行的定時任務)
1)每個Sentinel以每秒鐘一次的頻率向它所知的Master,Slave以及其他 Sentinel 實例發(fā)送一個PING命令。
2)如果一個實例(instance)距離最后一次有效回復PING命令的時間超過 own-after-milliseconds 選項所指定的值,則這個實例會被Sentinel標記為主觀下線。
3)如果一個Master被標記為主觀下線,則正在監(jiān)視這個Master的所有 Sentinel 要以每秒一次的頻率確認Master的確進入了主觀下線狀態(tài)。
4)當有足夠數(shù)量的Sentinel(大于等于配置文件指定的值)在指定的時間范圍內(nèi)確認Master的確進入了主觀下線狀態(tài),則Master會被標記為客觀下線。
5)在一般情況下,每個Sentinel 會以每10秒一次的頻率向它已知的所有Master,Slave發(fā)送 INFO 命令。
6)當Master被Sentinel標記為客觀下線時,Sentinel 向下線的 Master 的所有Slave發(fā)送 INFO命令的頻率會從10秒一次改為每秒一次。
7)若沒有足夠數(shù)量的Sentinel同意Master已經(jīng)下線,Master的客觀下線狀態(tài)就會被移除。若 Master重新向Sentinel 的PING命令返回有效回復,Master的主觀下線狀態(tài)就會被移除。
三個定時任務
sentinel在內(nèi)部有3個定時任務
1)每10秒每個sentinel會對master和slave執(zhí)行info命令,這個任務達到兩個目的:
a)發(fā)現(xiàn)slave節(jié)點
b)確認主從關(guān)系
2)每2秒每個sentinel通過master節(jié)點的channel交換信息(pub/sub)。master節(jié)點上有一個發(fā)布訂閱的頻道(sentinel:hello)。sentinel節(jié)點通過__sentinel__:hello頻道進行信息交換(對節(jié)點的"看法"和自身的信息),達成共識。
3)每1秒每個sentinel對其他sentinel和redis節(jié)點執(zhí)行ping操作(相互監(jiān)控),這個其實是一個心跳檢測,是失敗判定的依據(jù)。
主觀下線
所謂主觀下線(Subjectively Down, 簡稱 SDOWN)指的是單個Sentinel實例對服務器做出的下線判斷,即單個sentinel認為某個服務下線(有可能是接收不到訂閱,之間的網(wǎng)絡不通等等原因)。
主觀下線就是說如果服務器在down-after-milliseconds給定的毫秒數(shù)之內(nèi), 沒有返回 Sentinel 發(fā)送的 PING 命令的回復, 或者返回一個錯誤, 那么 Sentinel 將這個服務器標記為主觀下線(SDOWN )。
sentinel會以每秒一次的頻率向所有與其建立了命令連接的實例(master,從服務,其他sentinel)發(fā)ping命令,通過判斷ping回復是有效回復,還是無效回復來判斷實例時候在線(對該sentinel來說是“主觀在線”)。
sentinel配置文件中的down-after-milliseconds設置了判斷主觀下線的時間長度,如果實例在down-after-milliseconds毫秒內(nèi),返回的都是無效回復,那么sentinel回認為該實例已(主觀)下線,修改其flags狀態(tài)為SRI_S_DOWN。如果多個sentinel監(jiān)視一個服務,有可能存在多個sentinel的down-after-milliseconds配置不同,這個在實際生產(chǎn)中要注意。
客觀下線
客觀下線(Objectively Down, 簡稱 ODOWN)指的是多個 Sentinel 實例在對同一個服務器做出 SDOWN 判斷, 并且通過 SENTINEL is-master-down-by-addr 命令互相交流之后, 得出的服務器下線判斷,然后開啟failover。
客觀下線就是說只有在足夠數(shù)量的 Sentinel 都將一個服務器標記為主觀下線之后, 服務器才會被標記為客觀下線(ODOWN)。
只有當master被認定為客觀下線時,才會發(fā)生故障遷移。
當sentinel監(jiān)視的某個服務主觀下線后,sentinel會詢問其它監(jiān)視該服務的sentinel,看它們是否也認為該服務主觀下線,接收到足夠數(shù)量(這個值可以配置)的sentinel判斷為主觀下線,既任務該服務客觀下線,并對其做故障轉(zhuǎn)移操作。
sentinel通過發(fā)送 SENTINEL is-master-down-by-addr ip port current_epoch runid,(ip:主觀下線的服務id,port:主觀下線的服務端口,current_epoch:sentinel的紀元,runid:*表示檢測服務下線狀態(tài),如果是sentinel 運行id,表示用來選舉領(lǐng)頭sentinel)來詢問其它sentinel是否同意服務下線。
一個sentinel接收另一個sentinel發(fā)來的is-master-down-by-addr后,提取參數(shù),根據(jù)ip和端口,檢測該服務時候在該sentinel主觀下線,并且回復is-master-down-by-addr,回復包含三個參數(shù):down_state(1表示已下線,0表示未下線),leader_runid(領(lǐng)頭sentinal id),leader_epoch(領(lǐng)頭sentinel紀元)。
sentinel接收到回復后,根據(jù)配置設置的下線最小數(shù)量,達到這個值,既認為該服務客觀下線。
客觀下線條件只適用于主服務器:對于任何其他類型的 Redis 實例, Sentinel 在將它們判斷為下線前不需要進行協(xié)商, 所以從服務器或者其他 Sentinel 永遠不會達到客觀下線條件。只要一個 Sentinel 發(fā)現(xiàn)某個主服務器進入了客觀下線狀態(tài), 這個 Sentinel 就可能會被其他 Sentinel 推選出, 并對失效的主服務器執(zhí)行自動故障遷移操作。
在redis-sentinel的conf文件里有這么兩個配置:
**1)sentinel monitor **
四個參數(shù)含義:
masterName這個是對某個master+slave組合的一個區(qū)分標識(一套sentinel是可以監(jiān)聽多套master+slave這樣的組合的)。
ip 和 port 就是master節(jié)點的 ip 和 端口號。
quorum這個參數(shù)是進行客觀下線的一個依據(jù),意思是至少有 quorum 個sentinel主觀的認為這個master有故障,才會對這個master進行下線以及故障轉(zhuǎn)移。因為有的時候,某個sentinel節(jié)點可能因為自身網(wǎng)絡原因,導致無法連接master,而此時master并沒有出現(xiàn)故障,所以這就需要多個sentinel都一致認為該master有問題,才可以進行下一步操作,這就保證了公平性和高可用。
2)sentinel down-after-milliseconds **
這個配置其實就是進行主觀下線的一個依據(jù)**,masterName這個參數(shù)不用說了,timeout是一個毫秒值,表示:如果這臺sentinel超過timeout這個時間都無法連通master包括slave(slave不需要客觀下線,因為不需要故障轉(zhuǎn)移)的話,就會主觀認為該master已經(jīng)下線(實際下線需要客觀下線的判斷通過才會下線)
那么,多個sentinel之間是如何達到共識的呢?
這就是依賴于前面說的第二個定時任務,某個sentinel先將master節(jié)點進行一個主觀下線,然后會將這個判定通過sentinel is-master-down-by-addr這個命令問對應的節(jié)點是否也同樣認為該addr的master節(jié)點要做客觀下線。最后當達成這一共識的sentinel個數(shù)達到前面說的quorum設置的這個值時,就會對該master節(jié)點下線進行故障轉(zhuǎn)移。quorum的值一般設置為sentinel個數(shù)的二分之一加1,例如3個sentinel就設置2。
主觀下線(SDOWN)和客觀下線(ODOWN)的更多細節(jié)
sentinel對于不可用有兩種不同的看法,一個叫主觀不可用(SDOWN),另外一個叫客觀不可用(ODOWN)。SDOWN是sentinel自己主觀上檢測到的關(guān)于master的狀態(tài),ODOWN需要一定數(shù)量的sentinel達成一致意見才能認為一個master客觀上已經(jīng)宕掉,各個sentinel之間通過命令SENTINEL is_master_down_by_addr來獲得其它sentinel對master的檢測結(jié)果。
從sentinel的角度來看,如果發(fā)送了PING心跳后,在一定時間內(nèi)沒有收到合法的回復,就達到了SDOWN的條件。這個時間在配置中通過is-master-down-after-milliseconds參數(shù)配置。
當sentinel發(fā)送PING后,以下回復之一都被認為是合法的:
PING replied with +PONG.
PING replied with -LOADING error.
PING replied with -MASTERDOWN error.
其它任何回復(或者根本沒有回復)都是不合法的。
從SDOWN切換到ODOWN不需要任何一致性算法,只需要一個gossip協(xié)議:如果一個sentinel收到了足夠多的sentinel發(fā)來消息告訴它某個master已經(jīng)down掉了,SDOWN狀態(tài)就會變成ODOWN狀態(tài)。如果之后master可用了,這個狀態(tài)就會相應地被清理掉。
正如之前已經(jīng)解釋過了,真正進行failover需要一個授權(quán)的過程,但是所有的failover都開始于一個ODOWN狀態(tài)。
ODOWN狀態(tài)只適用于master,對于不是master的redis節(jié)點sentinel之間不需要任何協(xié)商,slaves和sentinel不會有ODOWN狀態(tài)。
配置版本號
為什么要先獲得大多數(shù)sentinel的認可時才能真正去執(zhí)行failover呢?
當一個sentinel被授權(quán)后,它將會獲得宕掉的master的一份最新配置版本號,當failover執(zhí)行結(jié)束以后,這個版本號將會被用于最新的配置。因為大多數(shù)sentinel都已經(jīng)知道該版本號已經(jīng)被要執(zhí)行failover的sentinel拿走了,所以其他的sentinel都不能再去使用這個版本號。這意味著,每次failover都會附帶有一個獨一無二的版本號。我們將會看到這樣做的重要性。而且,sentinel集群都遵守一個規(guī)則:如果sentinel A推薦sentinel B去執(zhí)行failover,B會等待一段時間后,自行再次去對同一個master執(zhí)行failover,這個等待的時間是通過failover-timeout配置項去配置的。從這個規(guī)則可以看出,sentinel集群中的sentinel不會再同一時刻并發(fā)去failover同一個master,第一個進行failover的sentinel如果失敗了,另外一個將會在一定時間內(nèi)進行重新進行failover,以此類推。
redis sentinel保證了活躍性:如果大多數(shù)sentinel能夠互相通信,最終將會有一個被授權(quán)去進行failover.
redis sentinel也保證了安全性:每個試圖去failover同一個master的sentinel都會得到一個獨一無二的版本號。
配置傳播
一旦一個sentinel成功地對一個master進行了failover,它將會把關(guān)于master的最新配置通過廣播形式通知其它sentinel,其它的sentinel則更新對應master的配置。
一個faiover要想被成功實行,sentinel必須能夠向選為master的slave發(fā)送SLAVEOF NO ONE命令,然后能夠通過INFO命令看到新master的配置信息。
當將一個slave選舉為master并發(fā)送SLAVEOF NO ONE后,即使其它的slave還沒針對新master重新配置自己,failover也被認為是成功了的,然后所有sentinels將會發(fā)布新的配置信息。
新配在集群中相互傳播的方式,就是為什么我們需要當一個sentinel進行failover時必須被授權(quán)一個版本號的原因。
每個sentinel使用##發(fā)布/訂閱##的方式持續(xù)地傳播master的配置版本信息,配置傳播的##發(fā)布/訂閱##管道是:sentinel:hello。
因為每一個配置都有一個版本號,所以以版本號最大的那個為標準。
舉個例子:
假設有一個名為mymaster的地址為192.168.10.202:6379。一開始,集群中所有的sentinel都知道這個地址,于是為mymaster的配置打上版本號1。一段時候后mymaster死了,有一個sentinel被授權(quán)用版本號2對其進行failover。如果failover成功了,假設地址改為了192.168.10.202:9000,此時配置的版本號為2,進行failover的sentinel會將新配置廣播給其他的sentinel,由于其他sentinel維護的版本號為1,發(fā)現(xiàn)新配置的版本號為2時,版本號變大了,說明配置更新了,于是就會采用最新的版本號為2的配置。
這意味著sentinel集群保證了第二種活躍性:一個能夠互相通信的sentinel集群最終會采用版本號最高且相同的配置。
sentinel的"仲裁會"
前面我們談到,當一個master被sentinel集群監(jiān)控時,需要為它指定一個參數(shù),這個參數(shù)指定了當需要判決master為不可用,并且進行failover時,所需要的sentinel數(shù)量,可以稱這個參數(shù)為票數(shù)
不過,當failover主備切換真正被觸發(fā)后,failover并不會馬上進行,還需要sentinel中的大多數(shù)sentinel授權(quán)后才可以進行failover。
當ODOWN時,failover被觸發(fā)。failover一旦被觸發(fā),嘗試去進行failover的sentinel會去獲得“大多數(shù)”sentinel的授權(quán)(如果票數(shù)比大多數(shù)還要大的時候,則詢問更多的sentinel)
這個區(qū)別看起來很微妙,但是很容易理解和使用。例如,集群中有5個sentinel,票數(shù)被設置為2,當2個sentinel認為一個master已經(jīng)不可用了以后,將會觸發(fā)failover,但是,進行failover的那個sentinel必須先獲得至少3個sentinel的授權(quán)才可以實行failover。
如果票數(shù)被設置為5,要達到ODOWN狀態(tài),必須所有5個sentinel都主觀認為master為不可用,要進行failover,那么得獲得所有5個sentinel的授權(quán)。
選舉領(lǐng)頭sentinel(即領(lǐng)導者選舉)
一個redis服務被判斷為客觀下線時,多個監(jiān)視該服務的sentinel協(xié)商,選舉一個領(lǐng)頭sentinel,對該redis服務進行故障轉(zhuǎn)移操作。選舉領(lǐng)頭sentinel遵循以下規(guī)則:
1)所有的sentinel都有公平被選舉成領(lǐng)頭的資格。
2)所有的sentinel都有且只有一次將某個sentinel選舉成領(lǐng)頭的機會(在一輪選舉中),一旦選舉某個sentinel為領(lǐng)頭,不能更改。
3)sentinel設置領(lǐng)頭sentinel是先到先得,一旦當前sentinel設置了領(lǐng)頭sentinel,以后要求設置sentinel為領(lǐng)頭請求都會被拒絕。
4)每個發(fā)現(xiàn)服務客觀下線的sentinel,都會要求其他sentinel將自己設置成領(lǐng)頭。
5)當一個sentinel(源sentinel)向另一個sentinel(目sentinel)發(fā)送is-master-down-by-addr ip port current_epoch runid命令的時候,runid參數(shù)不是*,而是sentinel運行id,就表示源sentinel要求目標sentinel選舉其為領(lǐng)頭。
6)源sentinel會檢查目標sentinel對其要求設置成領(lǐng)頭的回復,如果回復的leader_runid和leader_epoch為源sentinel,表示目標sentinel同意將源sentinel設置成領(lǐng)頭。
7)如果某個sentinel被半數(shù)以上的sentinel設置成領(lǐng)頭,那么該sentinel既為領(lǐng)頭。
8)如果在限定時間內(nèi),沒有選舉出領(lǐng)頭sentinel,暫定一段時間,再選舉。
為什么要選領(lǐng)導者?
簡單來說,就是因為只能有一個sentinel節(jié)點去完成故障轉(zhuǎn)移。
sentinel is-master-down-by-addr這個命令有兩個作用,一是確認下線判定,二是進行領(lǐng)導者選舉。
選舉過程:
1)每個做主觀下線的sentinel節(jié)點向其他sentinel節(jié)點發(fā)送上面那條命令,要求將它設置為領(lǐng)導者。
2)收到命令的sentinel節(jié)點如果還沒有同意過其他的sentinel發(fā)送的命令(還未投過票),那么就會同意,否則拒絕。
3)如果該sentinel節(jié)點發(fā)現(xiàn)自己的票數(shù)已經(jīng)過半且達到了quorum的值,就會成為領(lǐng)導者
4)如果這個過程出現(xiàn)多個sentinel成為領(lǐng)導者,則會等待一段時間重新選舉。
Redis Sentinel的主從切換方案
Redis 2.8版開始正式提供名為Sentinel的主從切換方案,通俗的來講,Sentinel可以用來管理多個Redis服務器實例,可以實現(xiàn)一個功能上實現(xiàn)HA的集群,Sentinel主要負責三個方面的任務:
1)監(jiān)控(Monitoring):Sentinel 會不斷地檢查你的主服務器和從服務器是否運作正常。
2)提醒(Notification):當被監(jiān)控的某個 Redis 服務器出現(xiàn)問題時, Sentinel 可以通過 API 向管理員或者其他應用程序發(fā)送通知。
3)自動故障遷移(Automatic failover):當一個主服務器不能正常工作時, Sentinel 會開始一次自動故障遷移操作, 它會將失效主服務器的其中一個從服務器升級為新的主服務器, 并讓失效主服務器的其他從服務器改為復制新的主服務器;當客戶端試圖連接失效的主服務器時, 集群也會向客戶端返回新主服務器的地址, 使得集群可以使用新主服務器代替失效服務器。
Redis Sentinel 是一個分布式系統(tǒng), 可以在一個架構(gòu)中運行多個 Sentinel 進程(progress), 這些進程使用流言協(xié)議(gossip protocols)來接收關(guān)于主服務器是否下線的信息, 并使用投票協(xié)議(agreement protocols)來決定是否執(zhí)行自動故障遷移, 以及選擇哪個從服務器作為新的主服務器。
一個簡單的主從結(jié)構(gòu)加sentinel集群的架構(gòu)圖如下:
上圖是一主一從節(jié)點,加上兩個部署了sentinel的集群,sentinel集群之間會互相通信,溝通交流redis節(jié)點的狀態(tài),做出相應的判斷并進行處理,這里的主觀下線狀態(tài)和客觀下線狀態(tài)是比較重要的狀態(tài),它們決定了是否進行故障轉(zhuǎn)移
可以 通過訂閱指定的頻道信息,當服務器出現(xiàn)故障得時候通知管理員
客戶端可以將 Sentinel 看作是一個只提供了訂閱功能的 Redis 服務器,你不可以使用 PUBLISH 命令向這個服務器發(fā)送信息,但你可以用 SUBSCRIBE 命令或者 PSUBSCRIBE 命令, 通過訂閱給定的頻道來獲取相應的事件提醒。一個頻道能夠接收和這個頻道的名字相同的事件。比如說, 名為 +sdown 的頻道就可以接收所有實例進入主觀下線(SDOWN)狀態(tài)的事件。
個人認為,Sentinel實現(xiàn)的最主要的一個功能就是能做到自動故障遷移,即當某一個master掛了的時候,可以自動的將某一個slave提升為新的master,且原master的所有slave也都自動的將自己的master改為新提升的master,這樣我們的程序的可用性大大提高了。只要redis安裝完成,Sentinel就安裝完成了,Sentinel集成在redis里了。
Sentinel支持集群(可以部署在多臺機器上,也可以在一臺物理機上通過多端口實現(xiàn)偽集群部署)
很顯然,只使用單個sentinel進程來監(jiān)控redis集群是不可靠的,當sentinel進程宕掉后(sentinel本身也有單點問題,single-point-of-failure)整個集群系統(tǒng)將無法按照預期的方式運行。所以有必要將sentinel集群,這樣有幾個好處:
1)即使有一些sentinel進程宕掉了,依然可以進行redis集群的主備切換;
2)如果只有一個sentinel進程,如果這個進程運行出錯,或者是網(wǎng)絡堵塞,那么將無法實現(xiàn)redis集群的主備切換(單點問題);
3)如果有多個sentinel,redis的客戶端可以隨意地連接任意一個sentinel來獲得關(guān)于redis集群中的信息。
sentinel集群注意事項
1)只有Sentinel 集群中大多數(shù)服務器認定master主觀下線時master才會被認定為客觀下線,才可以進行故障遷移,也就是說,即使不管我們在sentinel monitor中設置的數(shù)是多少,就算是滿足了該值,只要達不到大多數(shù),就不會發(fā)生故障遷移。
2)官方建議sentinel至少部署三臺,且分布在不同機器。這里主要考慮到sentinel的可用性,假如我們只部署了兩臺sentinel,且quorum設置為1,也可以實現(xiàn)自動故障遷移,但假如其中一臺sentinel掛了,就永遠不會觸發(fā)自動故障遷移,因為永遠達不到大多數(shù)sentinel認定master主觀下線了。
3)sentinel monitor配置中的master IP盡量不要寫127.0.0.1或localhost,因為客戶端,如jedis獲取master是根據(jù)這個獲取的,若這樣配置,jedis獲取的ip則是127.0.0.1,這樣就可能導致程序連接不上master
4)當sentinel 啟動后會自動的修改sentinel.conf文件,如已發(fā)現(xiàn)的master的slave信息,和集群中其它sentinel 的信息等,這樣即使重啟sentinel也能保持原來的狀態(tài)。注意,當集群服務器調(diào)整時,如更換sentinel的機器,或者新配置一個sentinel,請不要直接復制原來運行過得sentinel配置文件,因為其里面自動生成了以上說的那些信息,我們應該復制一個新的配置文件或者把自動生成的信息給刪掉。
5)當發(fā)生故障遷移的時候,master的變更記錄與slave更換master的修改會自動同步到redis的配置文件,這樣即使重啟redis也能保持變更后的狀態(tài)。
每個 Sentinel 都需要定期執(zhí)行的任務
每個 Sentinel 以每秒鐘一次的頻率向它所知的主服務器、從服務器以及其他 Sentinel 實例發(fā)送一個 PING 命令。
如果一個實例(instance)距離最后一次有效回復 PING 命令的時間超過 down-after-milliseconds 選項所指定的值, 那么這個實例會被 Sentinel 標記為主觀下線。一個有效回復可以是:+PONG 、 -LOADING 或者 -MASTERDOWN 。
如果一個主服務器被標記為主觀下線, 那么正在監(jiān)視這個主服務器的所有 Sentinel 要以每秒一次的頻率確認主服務器的確進入了主觀下線狀態(tài)。
如果一個主服務器被標記為主觀下線, 并且有足夠數(shù)量的 Sentinel (至少要達到配置文件指定的數(shù)量)在指定的時間范圍內(nèi)同意這一判斷, 那么這個主服務器被標記為客觀下線。
在一般情況下, 每個 Sentinel 會以每 10 秒一次的頻率向它已知的所有主服務器和從服務器發(fā)送 INFO 命令。當一個主服務器被 Sentinel 標記為客觀下線時, Sentinel 向下線主服務器的所有從服務器發(fā)送 INFO 命令的頻率會從 10 秒一次改為每秒一次。
當沒有足夠數(shù)量的 Sentinel 同意主服務器已經(jīng)下線, 主服務器的客觀下線狀態(tài)就會被移除。當主服務器重新向 Sentinel 的PING 命令返回有效回復時, 主服務器的主管下線狀態(tài)就會被移除。
Sentinel之間和Slaves之間的自動發(fā)現(xiàn)機制
雖然sentinel集群中各個sentinel都互相連接彼此來檢查對方的可用性以及互相發(fā)送消息。但是你不用在任何一個sentinel配置任何其它的sentinel的節(jié)點。因為sentinel利用了master的發(fā)布/訂閱機制去自動發(fā)現(xiàn)其它也監(jiān)控了統(tǒng)一master的sentinel節(jié)點。
通過向名為__sentinel__:hello的管道中發(fā)送消息來實現(xiàn)。
同樣,你也不需要在sentinel中配置某個master的所有slave的地址,sentinel會通過詢問master來得到這些slave的地址的。
每個sentinel通過向每個master和slave的發(fā)布/訂閱頻道__sentinel__:hello每秒發(fā)送一次消息,來宣布它的存在。
每個sentinel也訂閱了每個master和slave的頻道__sentinel__:hello的內(nèi)容,來發(fā)現(xiàn)未知的sentinel,當檢測到了新的sentinel,則將其加入到自身維護的master監(jiān)控列表中。
每個sentinel發(fā)送的消息中也包含了其當前維護的最新的master配置。如果某個sentinel發(fā)現(xiàn)
自己的配置版本低于接收到的配置版本,則會用新的配置更新自己的master配置。
在為一個master添加一個新的sentinel前,sentinel總是檢查是否已經(jīng)有sentinel與新的sentinel的進程號或者是地址是一樣的。如果是那樣,這個sentinel將會被刪除,而把新的sentinel添加上去。
sentinel和redis身份驗證
當一個master配置為需要密碼才能連接時,客戶端和slave在連接時都需要提供密碼。
master通過requirepass設置自身的密碼,不提供密碼無法連接到這個master。
slave通過masterauth來設置訪問master時的密碼。
但是當使用了sentinel時,由于一個master可能會變成一個slave,一個slave也可能會變成master,所以需要同時設置上述兩個配置項。
Sentinel API
在默認情況下, Sentinel 使用 TCP 端口 26379 (普通 Redis 服務器使用的是 6379 )。Sentinel 接受 Redis 協(xié)議格式的命令請求, 所以你可以使用 redis-cli 或者任何其他 Redis 客戶端來與 Sentinel 進行通訊。有兩種方式可以和 Sentinel 進行通訊:
1)是通過直接發(fā)送命令來查詢被監(jiān)視 Redis 服務器的當前狀態(tài), 以及 Sentinel 所知道的關(guān)于其他 Sentinel 的信息, 諸如此類。
2)是使用發(fā)布與訂閱功能, 通過接收 Sentinel 發(fā)送的通知:當執(zhí)行故障轉(zhuǎn)移操作, 或者某個被監(jiān)視的服務器被判斷為主觀下線或者客觀下線時, Sentinel 就會發(fā)送相應的信息。
Sentinel命令(即登錄到sentinel節(jié)點后執(zhí)行的命令,比如執(zhí)行"redis-cli -h 192.168.10.203 -p 26379"命令后,才可以執(zhí)行下面命令)
PING :返回 PONG 。
SENTINEL masters :列出所有被監(jiān)視的主服務器,以及這些主服務器的當前狀態(tài);
SENTINEL slaves :列出給定主服務器的所有從服務器,以及這些從服務器的當前狀態(tài);
SENTINEL get-master-addr-by-name :返回給定名字的主服務器的 IP 地址和端口號。如果這個主服務器正在執(zhí)行故障轉(zhuǎn)移操作, 或者針對這個主服務器的故障轉(zhuǎn)移操作已經(jīng)完成, 那么這個命令返回新的主服務器的 IP 地址和端口號;
SENTINEL reset :重置所有名字和給定模式 pattern 相匹配的主服務器。pattern 參數(shù)是一個 Glob 風格的模式。重置操作清楚主服務器目前的所有狀態(tài), 包括正在執(zhí)行中的故障轉(zhuǎn)移, 并移除目前已經(jīng)發(fā)現(xiàn)和關(guān)聯(lián)的, 主服務器的所有從服務器和 Sentinel ;
SENTINEL failover :當主服務器失效時, 在不詢問其他 Sentinel 意見的情況下, 強制開始一次自動故障遷移。(不過發(fā)起故障轉(zhuǎn)移的 Sentinel 會向其他 Sentinel 發(fā)送一個新的配置,其他 Sentinel 會根據(jù)這個配置進行相應的更新)
SENTINEL MONITOR 這個命令告訴sentinel去監(jiān)聽一個新的master
SENTINEL REMOVE 命令sentinel放棄對某個master的監(jiān)聽
SENTINEL SET 這個命令很像Redis的CONFIG SET命令,用來改變指定master的配置。支持多個。例如以下實例:SENTINEL SET objects-cache-master down-after-milliseconds 1000
只要是配置文件中存在的配置項,都可以用SENTINEL SET命令來設置。這個還可以用來設置master的屬性,比如說quorum(票數(shù)),而不需要先刪除master,再重新添加master。例如:SENTINEL SET objects-cache-master quorum 5
客戶端可以通過SENTINEL get-master-addr-by-name 獲取當前的主服務器IP地址和端口號,以及SENTINEL slaves 獲取所有的Slaves信息。
[root@redis-master ~]# redis-cli -h 192.168.10.202 -p 6379 INFO|grep role
role:slave
[root@redis-master ~]# redis-cli -h 192.168.10.203 -p 6379 INFO|grep role
role:slave
[root@redis-master ~]# redis-cli -h 192.168.10.205 -p 6379 INFO|grep role
role:master
登錄任意一個節(jié)點的sentinel,進行相關(guān)命令的操作(下面命令例子中的redisMaster是sentinel監(jiān)控redis主從狀態(tài)時定義的master名稱)
1)sentinel masters 羅列所有sentinel 監(jiān)視相關(guān)的master
[root@redis-master ~]# redis-cli -h 192.168.10.205 -p 26379
192.168.10.205:26379> sentinel masters
2)sentinel master masterName 列出一個master相關(guān)的的信息
[root@redis-master ~]# redis-cli -h 192.168.10.205 -p 26379
192.168.10.205:26379> sentinel master redisMaster
3)sentinel slaves masterName 列出一個master相應的slave組相關(guān)的數(shù)據(jù)
[root@redis-master ~]# redis-cli -h 192.168.10.205 -p 26379
192.168.10.205:26379> sentinel slaves redisMaster
4)sentinel sentinels masterName 列出master相關(guān)的sentinels組其他相關(guān)的信息
[root@redis-master ~]# redis-cli -h 192.168.10.205 -p 26379
192.168.10.205:26379> sentinel sentinels redisMaster
5)sentinel get-master-addr-by-name masterName 獲取master-name相關(guān)的 ip addr 的信息
[root@redis-master ~]# redis-cli -h 192.168.10.205 -p 26379
192.168.10.205:26379> sentinel get-master-addr-by-name redisMaster
1) "192.168.10.205"
2) "6379"
增加或刪除Sentinel
由于有sentinel自動發(fā)現(xiàn)機制,所以添加一個sentinel到你的集群中非常容易,你所需要做的只是監(jiān)控到某個Master上,然后新添加的sentinel就能獲得其他sentinel的信息以及master所有的slaves。
如果你需要添加多個sentinel,建議你一個接著一個添加,這樣可以預防網(wǎng)絡隔離帶來的問題。你可以每個30秒添加一個sentinel。最后你可以用SENTINEL MASTER mastername來檢查一下是否所有的sentinel都已經(jīng)監(jiān)控到了master。
刪除一個sentinel顯得有點復雜:因為sentinel永遠不會刪除一個已經(jīng)存在過的sentinel,即使它已經(jīng)與組織失去聯(lián)系很久了。
要想刪除一個sentinel,應該遵循如下步驟:
1)停止所要刪除的sentinel
2)發(fā)送一個SENTINEL RESET * 命令給所有其它的sentinel實例,如果你想要重置指定master上面的sentinel,只需要把*號改為特定的名字,注意,需要一個接一個發(fā),每次發(fā)送的間隔不低于30秒。
3)檢查一下所有的sentinels是否都有一致的當前sentinel數(shù)。使用SENTINEL MASTER mastername 來查詢。
刪除舊master或者不可達slave
sentinel永遠會記錄好一個Master的slaves,即使slave已經(jīng)與組織失聯(lián)好久了。這是很有用的,因為sentinel集群必須有能力把一個恢復可用的slave進行重新配置。
并且,failover后,失效的master將會被標記為新master的一個slave,這樣的話,當它變得可用時,就會從新master上復制數(shù)據(jù)。
然后,有時候你想要永久地刪除掉一個slave(有可能它曾經(jīng)是個master),你只需要發(fā)送一個SENTINEL RESET master命令給所有的sentinels,它們將會更新列表里能夠正確地復制master數(shù)據(jù)的slave。
發(fā)布與訂閱信息(sentinel的日志文件里可以看到這些信息)
客戶端可以將 Sentinel 看作是一個只提供了訂閱功能的 Redis 服務器:你不可以使用 PUBLISH 命令向這個服務器發(fā)送信息, 但你可以用 SUBSCRIBE 命令或者 PSUBSCRIBE 命令, 通過訂閱給定的頻道來獲取相應的事件提醒。
一個頻道能夠接收和這個頻道的名字相同的事件。比如說, 名為 +sdown 的頻道就可以接收所有實例進入主觀下線(SDOWN)狀態(tài)的事件。
通過執(zhí)行 "PSUBSCRIBE * "命令可以接收所有事件信息(即訂閱所有消息)。
以下列出的是客戶端可以通過訂閱來獲得的頻道和信息的格式:第一個英文單詞是頻道/事件的名字, 其余的是數(shù)據(jù)的格式。
注意, 當格式中包含 instance details 字樣時, 表示頻道所返回的信息中包含了以下用于識別目標實例的內(nèi)容.
以下是所有可以收到的消息的消息格式,如果你訂閱了所有消息的話。第一個單詞是頻道的名字,其它是數(shù)據(jù)的格式。
注意:以下的instance details的格式是:
@
如果這個redis實例是一個master,那么@之后的消息就不會顯示。
+reset-master <instance details> -- 當master被重置時.
+slave <instance details> -- 當檢測到一個slave并添加進slave列表時.
+failover-state-reconf-slaves <instance details> -- Failover狀態(tài)變?yōu)閞econf-slaves狀態(tài)時
+failover-detected <instance details> -- 當failover發(fā)生時
+slave-reconf-sent <instance details> -- sentinel發(fā)送SLAVEOF命令把它重新配置時
+slave-reconf-inprog <instance details> -- slave被重新配置為另外一個master的slave,但數(shù)據(jù)復制還未發(fā)生時。
+slave-reconf-done <instance details> -- slave被重新配置為另外一個master的slave并且數(shù)據(jù)復制已經(jīng)與master同步時。
-dup-sentinel <instance details> -- 刪除指定master上的冗余sentinel時 (當一個sentinel重新啟動時,可能會發(fā)生這個事件).
+sentinel <instance details> -- 當master增加了一個sentinel時。
+sdown <instance details> -- 進入SDOWN狀態(tài)時;
-sdown <instance details> -- 離開SDOWN狀態(tài)時。
+odown <instance details> -- 進入ODOWN狀態(tài)時。
-odown <instance details> -- 離開ODOWN狀態(tài)時。
+new-epoch <instance details> -- 當前配置版本被更新時。
+try-failover <instance details> -- 達到failover條件,正等待其他sentinel的選舉。
+elected-leader <instance details> -- 被選舉為去執(zhí)行failover的時候。
+failover-state-select-slave <instance details> -- 開始要選擇一個slave當選新master時。
no-good-slave <instance details> -- 沒有合適的slave來擔當新master
selected-slave <instance details> -- 找到了一個適合的slave來擔當新master
failover-state-send-slaveof-noone <instance details> -- 當把選擇為新master的slave的身份進行切換的時候。
failover-end-for-timeout <instance details> -- failover由于超時而失敗時。
failover-end <instance details> -- failover成功完成時。
switch-master <master name> <oldip> <oldport> <newip> <newport> -- 當master的地址發(fā)生變化時。通常這是客戶端最感興趣的消息了。
+tilt -- 進入Tilt模式。
-tilt -- 退出Tilt模式。
可以看出,使用Sentinel命令和發(fā)布訂閱兩種機制就能很好的實現(xiàn)和客戶端的集成整合:
使用get-master-addr-by-name和slaves指令可以獲取當前的Master和Slaves的地址和信息;而當發(fā)生故障轉(zhuǎn)移時,即Master發(fā)生切換,可以通過訂閱的+switch-master事件獲得最新的Master信息。
sentinel.conf中的notification-script
在sentinel.conf中可以配置多個sentinel notification-script , 如sentinel notification-script mymaster ./check.sh
這個是在群集failover時會觸發(fā)執(zhí)行指定的腳本。腳本的執(zhí)行結(jié)果若為1,即稍后重試(最大重試次數(shù)為10);若為2,則執(zhí)行結(jié)束。并且腳本最大執(zhí)行時間為60秒,超時會被終止執(zhí)行。
目前會存在該腳本被執(zhí)行多次的問題,網(wǎng)上查找資料獲得的解釋是:腳本分為兩個級別, SENTINEL_LEADER 和 SENTINEL_OBSERVER ,前者僅由領(lǐng)頭 Sentinel 執(zhí)行(一個 Sentinel),而后者由監(jiān)視同一個 master 的所有 Sentinel 執(zhí)行(多個 Sentinel)。
無failover時的配置糾正
即使當前沒有failover正在進行,sentinel依然會使用當前配置去設置監(jiān)控的master。特別是:
1)根據(jù)最新配置確認為slaves的節(jié)點卻聲稱自己是master(上文例子中被網(wǎng)絡隔離后的的redis3),這時它們會被重新配置為當前master的slave。
2)如果slaves連接了一個錯誤的master,將會被改正過來,連接到正確的master。
Slave選舉與優(yōu)先級
當一個sentinel準備好了要進行failover,并且收到了其他sentinel的授權(quán),那么就需要選舉出一個合適的slave來做為新的master。
slave的選舉主要會評估slave的以下幾個方面:
1)與master斷開連接的次數(shù)
2)Slave的優(yōu)先級
3)數(shù)據(jù)復制的下標(用來評估slave當前擁有多少master的數(shù)據(jù))
4)進程ID
如果一個slave與master失去聯(lián)系超過10次,并且每次都超過了配置的最大失聯(lián)時間(down-after-milliseconds),如果sentinel在進行failover時發(fā)現(xiàn)slave失聯(lián),那么這個slave就會被sentinel認為不適合用來做新master的。
更嚴格的定義是,如果一個slave持續(xù)斷開連接的時間超過
(down-after-milliseconds * 10) + milliseconds_since_master_is_in_SDOWN_state
就會被認為失去選舉資格。
符合上述條件的slave才會被列入master候選人列表,并根據(jù)以下順序來進行排序:
1)sentinel首先會根據(jù)slaves的優(yōu)先級來進行排序,優(yōu)先級越小排名越靠前。
2)如果優(yōu)先級相同,則查看復制的下標,哪個從master接收的復制數(shù)據(jù)多,哪個就靠前。
3)如果優(yōu)先級和下標都相同,就選擇進程ID較小的那個。
一個redis無論是master還是slave,都必須在配置中指定一個slave優(yōu)先級。要注意到master也是有可能通過failover變成slave的。
如果一個redis的slave優(yōu)先級配置為0,那么它將永遠不會被選為master。但是它依然會從master哪里復制數(shù)據(jù)。
故障轉(zhuǎn)移
所謂故障轉(zhuǎn)移就是當master宕機,選一個合適的slave來晉升為master的操作,redis-sentinel會自動完成這個,不需要我們手動來實現(xiàn)。
一次故障轉(zhuǎn)移操作大致分為以下流程:
發(fā)現(xiàn)主服務器已經(jīng)進入客觀下線狀態(tài)。
對我們的當前集群進行自增, 并嘗試在這個集群中當選。
如果當選失敗, 那么在設定的故障遷移超時時間的兩倍之后, 重新嘗試當選。如果當選成功, 那么執(zhí)行以下步驟:
選出一個從服務器,并將它升級為主服務器。
向被選中的從服務器發(fā)送 SLAVEOF NO ONE 命令,讓它轉(zhuǎn)變?yōu)橹鞣掌鳌?br style="outline: 0px;">通過發(fā)布與訂閱功能, 將更新后的配置傳播給所有其他 Sentinel , 其他 Sentinel 對它們自己的配置進行更新。
向已下線主服務器的從服務器發(fā)送 SLAVEOF 命令, 讓它們?nèi)椭菩碌闹鞣掌鳌?br style="outline: 0px;">當所有從服務器都已經(jīng)開始復制新的主服務器時, 領(lǐng)頭 Sentinel 終止這次故障遷移操作。
每當一個 Redis 實例被重新配置(reconfigured) —— 無論是被設置成主服務器、從服務器、又或者被設置成其他主服務器的從服務器 —— Sentinel 都會向被重新配置的實例發(fā)送一個 CONFIG REWRITE 命令, 從而確保這些配置會持久化在硬盤里。
Sentinel 使用以下規(guī)則來選擇新的主服務器:
在失效主服務器屬下的從服務器當中, 那些被標記為主觀下線、已斷線、或者最后一次回復 PING 命令的時間大于五秒鐘的從服務器都會被淘汰。
在失效主服務器屬下的從服務器當中, 那些與失效主服務器連接斷開的時長超過 down-after 選項指定的時長十倍的從服務器都會被淘汰。
在經(jīng)歷了以上兩輪淘汰之后剩下來的從服務器中, 我們選出復制偏移量(replication offset)最大的那個從服務器作為新的主服務器;如果復制偏移量不可用, 或者從服務器的復制偏移量相同, 那么帶有最小運行 ID 的那個從服務器成為新的主服務器。
Sentinel 自動故障遷移的一致性特質(zhì)
Sentinel 自動故障遷移使用 Raft 算法來選舉領(lǐng)頭(leader) Sentinel , 從而確保在一個給定的紀元(epoch)里, 只有一個領(lǐng)頭產(chǎn)生。
這表示在同一個紀元中, 不會有兩個 Sentinel 同時被選中為領(lǐng)頭, 并且各個 Sentinel 在同一個紀元中只會對一個領(lǐng)頭進行投票。
更高的配置紀元總是優(yōu)于較低的紀元, 因此每個 Sentinel 都會主動使用更新的紀元來代替自己的配置。
簡單來說, 可以將 Sentinel 配置看作是一個帶有版本號的狀態(tài)。一個狀態(tài)會以最后寫入者勝出(last-write-wins)的方式(也即是,最新的配置總是勝出)傳播至所有其他 Sentinel 。
舉個例子, 當出現(xiàn)網(wǎng)絡分割(network partitions)時, 一個 Sentinel 可能會包含了較舊的配置, 而當這個 Sentinel 接到其他 Sentinel 發(fā)來的版本更新的配置時, Sentinel 就會對自己的配置進行更新。
如果要在網(wǎng)絡分割出現(xiàn)的情況下仍然保持一致性, 那么應該使用 min-slaves-to-write 選項, 讓主服務器在連接的從實例少于給定數(shù)量時停止執(zhí)行寫操作, 與此同時, 應該在每個運行 Redis 主服務器或從服務器的機器上運行 Redis Sentinel 進程。
Sentinel 狀態(tài)的持久化
Sentinel 的狀態(tài)會被持久化在 Sentinel 配置文件里面。每當 Sentinel 接收到一個新的配置, 或者當領(lǐng)頭 Sentinel 為主服務器創(chuàng)建一個新的配置時, 這個配置會與配置紀元一起被保存到磁盤里面。這意味著停止和重啟 Sentinel 進程都是安全的。
Sentinel 在非故障遷移的情況下對實例進行重新配置
即使沒有自動故障遷移操作在進行, Sentinel 總會嘗試將當前的配置設置到被監(jiān)視的實例上面。特別是:
根據(jù)當前的配置, 如果一個從服務器被宣告為主服務器, 那么它會代替原有的主服務器, 成為新的主服務器, 并且成為原有主服務器的所有從服務器的復制對象。
那些連接了錯誤主服務器的從服務器會被重新配置, 使得這些從服務器會去復制正確的主服務器。
不過, 在以上這些條件滿足之后, Sentinel 在對實例進行重新配置之前仍然會等待一段足夠長的時間, 確保可以接收到其他 Sentinel 發(fā)來的配置更新, 從而避免自身因為保存了過期的配置而對實例進行了不必要的重新配置。
總結(jié)來說,故障轉(zhuǎn)移分為三個步驟:
1)從下線的主服務的所有從服務里面挑選一個從服務,將其轉(zhuǎn)成主服務
sentinel狀態(tài)數(shù)據(jù)結(jié)構(gòu)中保存了主服務的所有從服務信息,領(lǐng)頭sentinel按照如下的規(guī)則從從服務列表中挑選出新的主服務;
刪除列表中處于下線狀態(tài)的從服務;
刪除最近5秒沒有回復過領(lǐng)頭sentinel info信息的從服務;
刪除與已下線的主服務斷開連接時間超過 down-after-milliseconds*10毫秒的從服務,這樣就能保留從的數(shù)據(jù)比較新(沒有過早的與主斷開連接);
領(lǐng)頭sentinel從剩下的從列表中選擇優(yōu)先級高的,如果優(yōu)先級一樣,選擇偏移量最大的(偏移量大說明復制的數(shù)據(jù)比較新),如果偏移量一樣,選擇運行id最小的從服務。
2)已下線主服務的所有從服務改為復制新的主服務
挑選出新的主服務之后,領(lǐng)頭sentinel 向原主服務的從服務發(fā)送 slaveof 新主服務 的命令,復制新master。
3)將已下線的主服務設置成新的主服務的從服務,當其回復正常時,復制新的主服務,變成新的主服務的從服務
同理,當已下線的服務重新上線時,sentinel會向其發(fā)送slaveof命令,讓其成為新主的從。
溫馨提示:還可以向任意sentinel發(fā)生sentinel failover 進行手動故障轉(zhuǎn)移,這樣就不需要經(jīng)過上述主客觀和選舉的過程。
sentinel.conf文件配置參數(shù)解釋
1)sentinel monitor mymaster 192.168.10.202 6379 2
Sentine監(jiān)聽的maste地址,第一個參數(shù)是給master起的名字,第二個參數(shù)為master IP,第三個為master端口,第四個為當該master掛了的時候,若想將該master判為失效,
在Sentine集群中必須至少2個Sentine同意才行,只要該數(shù)量不達標,則就不會發(fā)生故障遷移。也就是說只要有2個sentinel認為master下線,就認為該master客觀下線,
啟動failover并選舉產(chǎn)生新的master。通常最后一個參數(shù)不能多于啟動的sentinel實例數(shù)。
這個配置是sentinel需要監(jiān)控的master/slaver信息,格式為sentinel monitor <mastername> <masterIP> <masterPort> <quorum>
其中<quorum>應該小于集群中slave的個數(shù),當失效的節(jié)點數(shù)超過了<quorum>,則認為整個體系結(jié)構(gòu)失效
不過要注意, 無論你設置要多少個 Sentinel 同意才能判斷一個服務器失效, 一個 Sentinel 都需要獲得系統(tǒng)中多數(shù)(majority) Sentinel 的支持, 才能發(fā)起一次自動故障遷移,
并預留一個給定的配置紀元 (configuration Epoch ,一個配置紀元就是一個新主服務器配置的版本號)。
換句話說, 在只有少數(shù)(minority) Sentinel 進程正常運作的情況下, Sentinel 是不能執(zhí)行自動故障遷移的。
-----------------------------------------------------------------------------------------------
2)sentinel down-after-milliseconds mymaster 30000
表示master被當前sentinel實例認定為失效的間隔時間。
master在多長時間內(nèi)一直沒有給Sentine返回有效信息,則認定該master主觀下線。也就是說如果多久沒聯(lián)系上redis-servevr,認為這個redis-server進入到失效(SDOWN)狀態(tài)。
如果服務器在給定的毫秒數(shù)之內(nèi), 沒有返回 Sentinel 發(fā)送的 PING 命令的回復, 或者返回一個錯誤, 那么 Sentinel 將這個服務器標記為主觀下線(subjectively down,簡稱 SDOWN )。
不過只有一個 Sentinel 將服務器標記為主觀下線并不一定會引起服務器的自動故障遷移: 只有在足夠數(shù)量的 Sentinel 都將一個服務器標記為主觀下線之后, 服務器才會被標記為客觀下線
(objectively down, 簡稱 ODOWN ), 這時自動故障遷移才會執(zhí)行。
將服務器標記為客觀下線所需的 Sentinel 數(shù)量由對主服務器的配置決定。
-----------------------------------------------------------------------------------------------
3)sentinel parallel-syncs mymaster 2
當在執(zhí)行故障轉(zhuǎn)移時,設置幾個slave同時進行切換master,該值越大,則可能就有越多的slave在切換master時不可用,可以將該值設置為1,即一個一個來,這樣在某個
slave進行切換master同步數(shù)據(jù)時,其余的slave還能正常工作,以此保證每次只有一個從服務器處于不能處理命令請求的狀態(tài)。
parallel-syncs 選項指定了在執(zhí)行故障轉(zhuǎn)移時, 最多可以有多少個從服務器同時對新的主服務器進行同步, 這個數(shù)字越小, 完成故障轉(zhuǎn)移所需的時間就越長。
如果從服務器被設置為允許使用過期數(shù)據(jù)集(參見對 redis.conf 文件中對 slave-serve-stale-data 選項的說明), 那么你可能不希望所有從服務器都在同一時間向新的主服務器發(fā)送同步請求,
因為盡管復制過程的絕大部分步驟都不會阻塞從服務器, 但從服務器在載入主服務器發(fā)來的 RDB 文件時, 仍然會造成從服務器在一段時間內(nèi)不能處理命令請求: 如果全部從服務器一起對新的主
服務器進行同步, 那么就可能會造成所有從服務器在短時間內(nèi)全部不可用的情況出現(xiàn)。
當新master產(chǎn)生時,同時進行"slaveof"到新master并進行"SYNC"的slave個數(shù)。
默認為1,建議保持默認值
在salve執(zhí)行salveof與同步時,將會終止客戶端請求。
此值較大,意味著"集群"終止客戶端請求的時間總和和較大。
此值較小,意味著"集群"在故障轉(zhuǎn)移期間,多個salve向客戶端提供服務時仍然使用舊數(shù)據(jù)。
-----------------------------------------------------------------------------------------------
4)sentinel can-failover mymaster yes
在sentinel檢測到O_DOWN后,是否對這臺redis啟動failover機制
-----------------------------------------------------------------------------------------------
5)sentinel auth-pass mymaster 20180408
設置sentinel連接的master和slave的密碼,這個需要和redis.conf文件中設置的密碼一樣
-----------------------------------------------------------------------------------------------
6)sentinel failover-timeout mymaster 180000
failover過期時間,當failover開始后,在此時間內(nèi)仍然沒有觸發(fā)任何failover操作,當前sentinel將會認為此次failoer失敗。
執(zhí)行故障遷移超時時間,即在指定時間內(nèi)沒有大多數(shù)的sentinel 反饋master下線,該故障遷移計劃則失效
-----------------------------------------------------------------------------------------------
7)sentinel config-epoch mymaster 0
選項指定了在執(zhí)行故障轉(zhuǎn)移時, 最多可以有多少個從服務器同時對新的主服務器進行同步。這個數(shù)字越小, 完成故障轉(zhuǎn)移所需的時間就越長。
-----------------------------------------------------------------------------------------------
8)sentinel notification-script mymaster /var/redis/notify.sh
當failover時,可以指定一個"通知"腳本用來告知當前集群的情況。
腳本被允許執(zhí)行的最大時間為60秒,如果超時,腳本將會被終止(KILL)
-----------------------------------------------------------------------------------------------
9)sentinel leader-epoch mymaster 0
同時一時間最多0個slave可同時更新配置,建議數(shù)字不要太大,以免影響正常對外提供服務。
Sentinel工作原理
首先要能理解SDOWN和ODOWN這兩個詞的含義,上面已經(jīng)詳細介紹了它們倆。在此再提一下:
SDOWN:subjectively down,直接翻譯的為"主觀"失效,即當前sentinel實例認為某個redis服務為"不可用"狀態(tài).
ODOWN:objectively down,直接翻譯為"客觀"失效,即多個sentinel實例都認為master處于"SDOWN"狀態(tài),那么此時master將處于ODOWN,ODOWN可以簡單理解為master已經(jīng)被集群確定
為"不可用",將會開啟failover.
SDOWN適合于master和slave,但是ODOWN只會使用于master;當slave失效超過"down-after-milliseconds"后,那么所有sentinel實例都會將其標記為"SDOWN"。
1) SDOWN與ODOWN轉(zhuǎn)換過程:
每個sentinel實例在啟動后,都會和已知的slaves/master以及其他sentinels建立TCP連接,并周期性發(fā)送PING(默認為1秒)
在交互中,如果redis-server無法在"down-after-milliseconds"時間內(nèi)響應或者響應錯誤信息,都會被認為此redis-server處于SDOWN狀態(tài)。
如果SDOWN的server為master,那么此時sentinel實例將會向其他sentinel間歇性(一秒)發(fā)送"is-master-down-by-addr "指令并獲取響應信息,如果足夠多的
sentinel實例檢測到master處于SDOWN,那么此時當前sentinel實例標記master為ODOWN…其他sentinel實例做同樣的交互操作。
配置項"sentinel monitor “,如果檢測到master處于SDOWN狀態(tài)的slave個數(shù)達到,那么此時此sentinel實例將會認為
master處于ODOWN。每個sentinel實例將會間歇性(10秒)向master和slaves發(fā)送"INFO"指令,如果master失效且沒有新master選出時,每1秒發(fā)送一次"INFO”;"INFO"的主要目的就是
獲取并確認當前集群環(huán)境中slaves和master的存活情況。
經(jīng)過上述過程后,所有的sentinel對master失效達成一致后,開始failover.
2) Sentinel與slaves"自動發(fā)現(xiàn)"機制:
在sentinel的配置文件中(local-sentinel.conf),都指定了port,此port就是sentinel實例偵聽其他sentinel實例建立鏈接的端口.在集群穩(wěn)定后,最終會每個sentinel實例之間都
會建立一個tcp鏈接,此鏈接中發(fā)送"PING"以及類似于"is-master-down-by-addr"指令集,可用用來檢測其他sentinel實例的有效性以及"ODOWN"和"failover"過程中信息的交互.
在sentinel之間建立連接之前,sentinel將會盡力和配置文件中指定的master建立連接.sentinel與master的連接中的通信主要是基于pub/sub來發(fā)布和接收信息,發(fā)布的信息內(nèi)容包
括當前sentinel實例的偵聽端口:
+sentinel sentinel 127.0.0.1:26579 127.0.0.1 26579 …
發(fā)布的主題名稱為"sentinel:hello";同時sentinel實例也是"訂閱"此主題,以獲得其他sentinel實例的信息.由此可見,環(huán)境首次構(gòu)建時,在默認master存活的情況下,所有的
sentinel實例可以通過pub/sub即可獲得所有的sentinel信息,此后每個sentinel實例即可以根據(jù)+sentinel信息中的"ip+port"和其他sentinel逐個建立tcp連接即可.不過需要提醒
的是,每個sentinel實例均會間歇性(5秒)向"sentinel:hello"主題中發(fā)布自己的ip+port,目的就是讓后續(xù)加入集群的sentinel實例也能或得到自己的信息。
根據(jù)上文,我們知道在master有效的情況下,即可通過"INFO"指令獲得當前master中已有的slave列表;此后任何slave加入集群,master都會向"主題中"發(fā)布"+slave 127.0.0.1:6579 …",
那么所有的sentinel也將立即獲得slave信息,并和slave建立鏈接并通過PING檢測其存活性.
補充一下,每個sentinel實例都會保存其他sentinel實例的列表以及現(xiàn)存的master/slaves列表,各自的列表中不會有重復的信息(不可能出現(xiàn)多個tcp連接),對于sentinel將使用ip+port
做唯一性標記,
對于master/slaver將使用runid做唯一性標記,其中redis-server的runid在每次啟動時都不同.
3) Leader選舉:
其實在sentinels故障轉(zhuǎn)移中,仍然需要一個"Leader"來調(diào)度整個過程:master的選舉以及slave的重配置和同步。當集群中有多個sentinel實例時,如何選舉其中一個sentinel為leader呢?
在配置文件中"can-failover""quorum"參數(shù),以及"is-master-down-by-addr"指令配合來完成整個過程。
A) “can-failover"用來表明當前sentinel是否可以參與"failover"過程,如果為"YES"則表明它將有能力參與"Leader"的選舉,否則它將作為"Observer”,observer參與leader選舉投票但
不能被選舉;
B) "quorum"不僅用來控制master ODOWN狀態(tài)確認,同時還用來選舉leader時最小"贊同票"數(shù);
C) “is-master-down-by-addr”,它可以用來檢測"ip + port"的master是否已經(jīng)處于SDOWN狀態(tài),不過此指令不僅能夠獲得master是否處于SDOWN,同時它還額外的返回當前sentinel
本地"投票選舉"的Leader信息(runid);
每個sentinel實例都持有其他的sentinels信息,在Leader選舉過程中(當為leader的sentinel實例失效時,有可能master server并沒失效,注意分開理解),sentinel實例將從所有的
sentinels集合中去除"can-failover = no"和狀態(tài)為SDOWN的sentinels,在剩余的sentinels列表中按照runid按照"字典"順序排序后,取出runid最小的sentinel實例,并將它"投票選舉"
為Leader,并在其他sentinel發(fā)送的"is-master-down-by-addr"指令時將推選的runid追加到響應中。每個sentinel實例都會檢測"is-master-down-by-addr"的響應結(jié)果,如果"投票選舉"的
leader為自己,且狀態(tài)正常的sentinels實例中,“贊同者"的自己的sentinel個數(shù)不小于(>=) 50% + 1,且不小與,那么此sentinel就會認為選舉成功且leader為自己。
在sentinel.conf文件中,我們期望有足夠多的sentinel實例配置"can-failover yes”,這樣能夠確保當leader失效時,能夠選舉某個sentinel為leader,以便進行failover。如果leader無法產(chǎn)生,
比如較少的sentinels實例有效,那么failover過程將無法繼續(xù).
4) failover過程:
在Leader觸發(fā)failover之前,首先wait數(shù)秒(隨即0~5),以便讓其他sentinel實例準備和調(diào)整(有可能多個leader??),如果一切正常,那么leader就需要開始將一個salve提升為master,此slave
必須為狀態(tài)良好(不能處于SDOWN/ODOWN狀態(tài))且權(quán)重值最低(redis.conf中)的,當master身份被確認后,開始failover
A)"+failover-triggered": Leader開始進行failover,此后緊跟著"+failover-state-wait-start",wait數(shù)秒。
B)"+failover-state-select-slave": Leader開始查找合適的slave
C)"+selected-slave": 已經(jīng)找到合適的slave
D) “+failover-state-sen-slaveof-noone”: Leader向slave發(fā)送"slaveof no one"指令,此時slave已經(jīng)完成角色轉(zhuǎn)換,此slave即為master
E) “+failover-state-wait-promotition”: 等待其他sentinel確認slave
F)"+promoted-slave":確認成功
G)"+failover-state-reconf-slaves": 開始對slaves進行reconfig操作。
H)"+slave-reconf-sent":向指定的slave發(fā)送"slaveof"指令,告知此slave跟隨新的master
I)"+slave-reconf-inprog": 此slave正在執(zhí)行slaveof + SYNC過程,如過slave收到"+slave-reconf-sent"之后將會執(zhí)行slaveof操作。
J)"+slave-reconf-done": 此slave同步完成,此后leader可以繼續(xù)下一個slave的reconfig操作。循環(huán)G)
K)"+failover-end": 故障轉(zhuǎn)移結(jié)束
L)"+switch-master":故障轉(zhuǎn)移成功后,各個sentinel實例開始監(jiān)控新的master。
版權(quán)聲明:本文為博主原創(chuàng)文章,遵循 CC 4.0 BY-SA 版權(quán)協(xié)議,轉(zhuǎn)載請附上原文出處鏈接和本聲明。
本文鏈接:
https://blog.csdn.net/weixin_45572139/article/details/106295494
