Haproxy 探活 TiDB in Action
作者: Kassadar 原文来源:https://tidb.net/blog/42182795
引言
在确保高可用性和优化负载均衡方面,监测后端服务的健康状况是关键步骤。HAProxy,作为一款被广泛使用的开源负载均衡器,提供了一个强大的健康检查框架,以确保服务的持续可用性。这个框架包括多种检查手段,从简单的 TCP 连接检查到复杂的应用层协议检查。对于采用 TiDB 作为后端数据库服务的系统,选择合适的健康检查配置是至关重要的,它可以确保只有健康的节点才会接收流量。在本文中,我们将探讨不同的健康检查配置,并解释为什么使用 option external-check
来执行自定义健康检查脚本,是确保 TiDB 服务稳定和可靠的最佳选择。
先上结论
在 HAProxy 的配置中,可以通过不同的检查选项来监控后端服务器的健康状况。以下是四种常见的健康检查机制的简述:
缺省的 TCP 连接检测
HAProxy 默认采用尝试建立 TCP 连接的方法来进行健康检查,这种方式能够确认端口的开放状态。然而,它的局限性在于无法检测到服务进程是否真正能够处理请求。即使服务进程被挂起(例如收到了 kill -SIGSTOP
命令),TCP 端口可能仍然在监听状态,从而导致健康检查误判服务仍然可用。
MySQL 协议检测
当启用 option mysql-check
后,HAProxy 执行更为精细的健康检查,因为它实际上模拟了客户端的协议级别交互。然而,仍然要注意,即使这种方式可以检测 MySQL 服务是否能够接受连接,但它不会执行实际的登录操作或查询,因此它可能无法捕获到数据库内部的一些问题,不足以覆盖 TiDB 这种计算存储分离的分布式数据库的复杂性,例如无法捕捉计算层与存储层间潜在的通信问题。
HTTP 检测
通过 option httpchk
,HAProxy 利用 HTTP 请求来进行服务健康检查。服务返回的 HTTP 状态码在 200 到 399 之间通常表示服务运行正常。但目前缺乏全链路检查的 API,无法完整地评估像 TiDB 这样的长服务链路状况,完整涵盖 TiDB、PD 和 TiKV 之间的通信链路。
外部脚本检测
option external-check
使得 HAProxy 能够通过执行自定义的外部脚本来进行复杂的健康检查。这种方法的灵活性最高,可以针对具体的服务需求设计检查逻辑。例如,在检测 TiDB 时,脚本可以执行实际的 SQL 查询以测试服务的响应能力。然而,这种方法要求脚本配置正确,具备适当的执行权限,并且依赖的数据库结构(例如 health_check
表)以及查询必须是正确的,以确保服务状态的准确性,并避免错误的健康报告。
综合来看,配置 HAProxy 执行自定义外部脚本检查(使用 option external-check
)是进行健康检查的首选方案。此方法不仅能够验证 TiDB 的网络层连通性,还能通过执行具体的数据库查询或交互来确保 TiDB 以及与之关联的服务能够正常处理请求。这种定制化的健康监测手段能够提供更深入的服务状态检查,有效避免不健康的 TiDB 实例处理客户端请求,从而显著提升整个服务的稳定性和可靠性。下面是配置参考:
In Action
TiDB 集群拓扑
Haproxy 中使用默认 check
如果未对健康检查进行特别设置,HAProxy 将执行默认的健康检查。这涉及到周期性地对标记为 check
的每个服务器尝试建立 TCP 连接。HAProxy 会定期向服务器的指定 IP 地址和端口发起连接请求。如果连接成功建立,即完成了 TCP 三次握手,服务器则被视为健康。反之,如果连接尝试失败,例如因连接超时、连接被拒绝或其他 TCP 错误,服务器会被认定为不健康。在一定数量的失败尝试后,HAProxy 会根据配置决定将服务器从负载均衡队列中剔除。
使用 kill -SIGSTOP <pid>
挂起 tidb 服务进程,但不释放端口
此时 tiup 已经发现 tidb is down,但 haproxy 中仍然被识别为 up 状态,检测类型为 L4
尝试访问该 tidb,会在交互命令行卡住,tidb 无法正常提供服务
SIGSTOP 是一个信号,在 Unix 和类 Unix 操作系统中用于停止(挂起)一个进程的执行。当一个进程接收到 SIGSTOP 信号时,它的执行会立即停止,直到它收到一个 SIGCONT 信号为止。在进程被停止期间,它仍然保留在系统的进程表中,它的所有状态信息(例如内存、打开的文件描述符、程序计数器位置等)都保持不变,但是 CPU 不会再执行这个进程的任何指令。
可以使用 kill 命令向进程发送 SIGSTOP 信号:
kill -SIGSTOP <pid>
与 SIGSTOP 对应的是 SIGCONT 信号,它用于恢复被 SIGSTOP 信号挂起的进程。当一个进程收到 SIGCONT 信号时,它会恢复执行。恢复进程的命令如下:
kill -SIGCONT <pid>
这个机制可以用来控制进程的执行,例如,在调试时暂停和继续进程,或者是在系统管理中暂时停止服务以进行维护,而不是完全终止它。
为了解决挂起的 tidb 未被 haproxy 检测出的问题,接下来我们尝试使用 haproxy 中的 mysql-check 进行 mysql 连接。
Haproxy 中使用 option mysql-check
使用 option mysql-check
指令允许 HAProxy 执行专门针对 MySQL 服务器的健康检查。这个设置使得 HAProxy 能够定期验证 MySQL 服务器的连接能力及其运行状态。启用该选项后,HAProxy 会向 MySQL 服务器发送符合 MySQL 协议的检查请求。HAProxy 首先尝试建立一个 TCP 连接,随后按照 MySQL 协议发送一个握手包,并等待来自 MySQL 服务器的适当响应。如果服务器的响应符合预期,HAProxy 则认定服务器为健康;如果响应不符或连接建立失败,服务器被判定为不健康,暂停向该服务器发送请求。
这个检查是通过简单的 TCP 握手完成的,不进行完整的登录过程,因此不需要用户密码,不需要授予任何特殊的数据库权限。但是,需要在 MySQL 服务器上创建一个用户供 HAProxy 使用,因为它需要在握手过程中提供用户名。
重启 haproxy,可以看到检测类型变为 L7,tidb 状态 up
再次注入 SIGSTOP,查看 Haproxy 中 tidb 的状态,已经被识别为 down
但是 option mysql-check 是面向单机 mysql 设计的,它并不能覆盖到 TiDB 的一些特殊场景,原因是:
这个检查是通过简单的 TCP 握手完成的,不需要进行完整的登录过程,而 TiDB 是一个计算存储分离的分布式数据库
我们假设如下情况,关闭集群中的 pd 和 kv,保留 tidb 存活(真实场景中,可能是 pd 故障了,也可能是 tidb 的网络隔离了)
尝试访问存活的 tidb,并进行 select 1 查询,发现可正常响应请求
既然仍然可以连接到 tidb,并进行 dual 查询,haproxy 中的 tidb 状态肯定仍然是 up
当运行真实业务查询时,则会返回预期的 pd server timeout 报错
为了解决孤立的 tidb 未被 haproxy 检测出的问题,接下来我们尝试调用会触发和存储层交互的 tidb http api。
Haproxy 中使用 option httpchk
option httpchk
指令在 HAProxy 配置中用于实现 HTTP 服务的健康检查。这个选项适用于检查后端 HTTP 服务器对 HTTP 请求的响应。当在后端配置中设置了 option httpchk
,HAProxy 会对每个服务器发送 HTTP 请求(如一个 GET 请求),并以服务器的响应来判定其健康状态。如果服务器返回了预期的响应,通常是 HTTP 200 至 399 的状态码,HAProxy 认为服务器运行正常;如果返回了错误的状态码或未响应,服务器将被视为不健康。在这种情况下,服务器会被临时从负载均衡池中移除,以阻止流量发送至此。
option httpchk GET /regions/meta
加上server tidb1 172.28.159.128:4000 check port 10080
会生成一个类似 curl 的访问请求:
该 API 负责从 TiKV 中检索元数据相关的 region 信息。若 API 能成功返回数据,则意味着几个关键组件均处于健康状态:首先,TiKV 正常运行并与 PD 保持通讯,其次,PD 也在正常工作。由于此 API 属于 TiDB,其正常响应进一步表明 tidb 亦运作良好。因此,该 API 的的调用结果可以作为判定 TiKV、PD 及 TiDB 这这三大核心组件运行状态的依据。此外,由于该 API 基于 HTTP 协议,它适用于 HTTP 探测需求。
重启 haproxy,发现在孤立 tidb 场景中,可正确识别到 tidb 的状态为 down
但是,目前并没有一个 tidb http api 可以模拟 tidb->pd->tikv 的完整链路,由于 region cache 的存在,curl http://{TiDBIP}:10080/regions/meta 实际并不需要访问 tikv,只模拟了 tidb->pd,即如果 tidb、pd 正常,而 tikv 失联,最终检测状态仍然会是 up
为了解决 tidb 暂无 health check api 的问题,接下来我们尝试模拟实际的业务请求
Haproxy 中使用 option external-check
option external-check
是 HAProxy 配置中的一个高级功能,它允许你通过执行自定义的外部命令或脚本来执行健康检查。这种方法提供了比标准的 TCP 或 HTTP 健康检查更高的灵活性,因为它可以根据应用程序的特定需求和逻辑来检测后端服务器的健康状况。
在 HAProxy 的 backend
配置部分启用 option external-check
后,HAProxy 会在进行健康检查时调用指定的外部程序。程序会对每个后端服务器进行检查,并通过其退出代码来报告服务器的健康状态。如果外部程序返回的退出状态码是 0,HAProxy 将认为该后端服务器健康;任何其他的非零退出状态都将标记该服务器为不健康。
这种外部检查机制非常适合于那些需要超出常规检查范围的场景,如执行数据库查询,检查应用程序内部状态,或者与服务器上的特定服务进行交云,以确保后端服务器不仅在网络层面上是可达的,而且其应用程序也是完全功能性的。
我们创建一个探活的数据库账号,并配置一张用于探活的表
编写探活脚本去访问 haproxy_db.health_check 表
$HAPROXY_SERVER_ADDR
和 $HAPROXY_SERVER_PORT
环境变量被用来构造用于连接到 TiDB 服务器的 MySQL 命令行。这样,脚本可以对每个后端服务器进行健康检查,通过尝试访问 haproxy_db.health_check
表来确认 tidb 服务器是否正常响应 MySQL 查询请求。
这个机制的工作流程如下:
HAProxy 需要对名为
tidb0
或tidb1
的后端服务器进行健康检查。HAProxy 设置环境变量
$HAPROXY_SERVER_ADDR
和$HAPROXY_SERVER_PORT
分别为目标服务器的 IP 地址和端口号。HAProxy 执行指定的外部检查命令
/usr/local/etc/haproxy/health_check.sh
探活脚本使用这些环境变量,通过 MySQL 客户端尝试访问 TiDB 服务器。
如果 MySQL 查询成功,脚本返回退出码
0
,表示健康检查通过;如果查询失败,脚本返回退出码1
,表示健康检查失败,HAProxy 将根据配置决定是否将该服务器标记为不健康。
需要注意的是,使用中需确保这个脚本有适当的权限被 HAProxy 进程执行,并且 MySQL 客户端工具已经安装在 HAProxy 服务器上。此外,确保 HAProxy 配置文件中的 external-check
相关设置正确无误,以便 HAProxy 可以顺利调用外部探活脚本。
重启 haproxy,发现检测类型变为 PROC,并能正确检测出 tidb 的工作状态
需要注意的是,检测依赖 health_check 表,如果 health_check 表不存在,tidb 状态将变为 down。更准确的说配置的探活 SQL 不能报错,否则就会被标为 down。
至此,我们得到了一个较为严谨的 haproxy 探活 tidb 的设置
版权声明: 本文为 InfoQ 作者【TiDB 社区干货传送门】的原创文章。
原文链接:【http://xie.infoq.cn/article/604301061df0f07d43a40685f】。文章转载请联系作者。
评论