Redis 哨兵集羣實現高可用

哨兵的介紹

sentinel，中文名是哨兵。哨兵是 redis 集羣機構中非常重要的一個組件，主要有以下功能：

• 集羣監控：負責監控 redis master 和 slave 進程是否正常工作。
• 消息通知：如果某個 redis 實例有故障，那麼哨兵負責發送消息作爲報警通知給管理員。
• 故障轉移：如果 master node 掛掉了，會自動轉移到 slave node 上。
• 配置中心：如果故障轉移發生了，通知 client 客戶端新的 master 地址。

哨兵用於實現 redis 集羣的高可用，本身也是分佈式的，作爲一個哨兵集羣去運行，互相協同工作。

• 故障轉移時，判斷一個 master node 是否宕機了，需要大部分的哨兵都同意才行，涉及到了分佈式選舉的問題。
• 即使部分哨兵節點掛掉了，哨兵集羣還是能正常工作的，因爲如果一個作爲高可用機制重要組成部分的故障轉移系統本身是單點的，那就很坑爹了。

哨兵的核心知識

• 哨兵至少需要 3 個實例，來保證自己的健壯性。
• 哨兵 + redis 主從的部署架構，是不保證數據零丟失的，只能保證 redis 集羣的高可用性。
• 對於哨兵 + redis 主從這種複雜的部署架構，儘量在測試環境和生產環境，都進行充足的測試和演練。

哨兵集羣必須部署 2 個以上節點，如果哨兵集羣僅僅部署了 2 個哨兵實例，quorum = 1。

+----+         +----+
| M1 |---------| R1 |
| S1 |         | S2 |
+----+         +----+

配置 quorum=1，如果 master 宕機， s1 和 s2 中只要有 1 個哨兵認爲 master 宕機了，就可以進行切換，同時 s1 和 s2 會選舉出一個哨兵來執行故障轉移。但是同時這個時候，需要 majority，也就是大多數哨兵都是運行的。

2 個哨兵，majority=2
3 個哨兵，majority=2
4 個哨兵，majority=2
5 個哨兵，majority=3
...

如果此時僅僅是 M1 進程宕機了，哨兵 s1 正常運行，那麼故障轉移是 OK 的。但是如果是整個 M1 和 S1 運行的機器宕機了，那麼哨兵只有 1 個，此時就沒有 majority 來允許執行故障轉移，雖然另外一臺機器上還有一個 R1，但是故障轉移不會執行。

經典的 3 節點哨兵集羣是這樣的：

       +----+
       | M1 |
       | S1 |
       +----+
          |
+----+    |    +----+
| R2 |----+----| R3 |
| S2 |         | S3 |
+----+         +----+

配置 quorum=2，如果 M1 所在機器宕機了，那麼三個哨兵還剩下 2 個，S2 和 S3 可以一致認爲 master 宕機了，然後選舉出一個來執行故障轉移，同時 3 個哨兵的 majority 是 2，所以還剩下的 2 個哨兵運行着，就可以允許執行故障轉移。

Redis 哨兵主備切換的數據丟失問題

兩種情況和導致數據丟失

主備切換的過程，可能會導致數據丟失：

• 異步複製導致的數據丟失

因爲 master->slave 的複製是異步的，所以可能有部分數據還沒複製到 slave，master 就宕機了，此時這部分數據就丟失了。

• 腦裂導致的數據丟失

腦裂，也就是說，某個 master 所在機器突然脫離了正常的網絡，跟其他 slave 機器不能連接，但是實際上 master 還運行着。此時哨兵可能就會認爲 master 宕機了，然後開啓選舉，將其他 slave 切換成了 master。這個時候，集羣裏就會有兩個 master ，也就是所謂的腦裂。

此時雖然某個 slave 被切換成了 master，但是可能 client 還沒來得及切換到新的 master，還繼續向舊 master 寫數據。因此舊 master 再次恢復的時候，會被作爲一個 slave 掛到新的 master 上去，自己的數據會清空，重新從新的 master 複製數據。而新的 master 並沒有後來 client 寫入的數據，因此，這部分數據也就丟失了。

數據丟失問題的解決方案

進行如下配置：

min-slaves-to-write 1
min-slaves-max-lag 10

表示，要求至少有 1 個 slave，數據複製和同步的延遲不能超過 10 秒。

如果說一旦所有的 slave，數據複製和同步的延遲都超過了 10 秒鐘，那麼這個時候，master 就不會再接收任何請求了。

• 減少異步複製數據的丟失

有了 min-slaves-max-lag 這個配置，就可以確保說，一旦 slave 複製數據和 ack 延時太長，就認爲可能 master 宕機後損失的數據太多了，那麼就拒絕寫請求，這樣可以把 master 宕機時由於部分數據未同步到 slave 導致的數據丟失降低的可控範圍內。

• 減少腦裂的數據丟失

如果一個 master 出現了腦裂，跟其他 slave 丟了連接，那麼上面兩個配置可以確保說，如果不能繼續給指定數量的 slave 發送數據，而且 slave 超過 10 秒沒有給自己 ack 消息，那麼就直接拒絕客戶端的寫請求。因此在腦裂場景下，最多就丟失 10 秒的數據。

sdown 和 odown 轉換機制

• sdown 是主觀宕機，就一個哨兵如果自己覺得一個 master 宕機了，那麼就是主觀宕機
• odown 是客觀宕機，如果 quorum 數量的哨兵都覺得一個 master 宕機了，那麼就是客觀宕機

sdown 達成的條件很簡單，如果一個哨兵 ping 一個 master，超過了 is-master-down-after-milliseconds 指定的毫秒數之後，就主觀認爲 master 宕機了；如果一個哨兵在指定時間內，收到了 quorum 數量的其它哨兵也認爲那個 master 是 sdown 的，那麼就認爲是 odown 了。

哨兵集羣的自動發現機制

哨兵互相之間的發現，是通過 redis 的 pub/sub 系統實現的，每個哨兵都會往 __sentinel__:hello 這個 channel 裏發送一個消息，這時候所有其他哨兵都可以消費到這個消息，並感知到其他的哨兵的存在。

每隔兩秒鐘，每個哨兵都會往自己監控的某個 master+slaves 對應的 __sentinel__:hello channel 裏發送一個消息，內容是自己的 host、ip 和 runid 還有對這個 master 的監控配置。

每個哨兵也會去監聽自己監控的每個 master+slaves 對應的 __sentinel__:hello channel，然後去感知到同樣在監聽這個 master+slaves 的其他哨兵的存在。

每個哨兵還會跟其他哨兵交換對 master 的監控配置，互相進行監控配置的同步。

slave 配置的自動糾正

哨兵會負責自動糾正 slave 的一些配置，比如 slave 如果要成爲潛在的 master 候選人，哨兵會確保 slave 複製現有 master 的數據；如果 slave 連接到了一個錯誤的 master 上，比如故障轉移之後，那麼哨兵會確保它們連接到正確的 master 上。

slave->master 選舉算法

如果一個 master 被認爲 odown 了，而且 majority 數量的哨兵都允許主備切換，那麼某個哨兵就會執行主備切換操作，此時首先要選舉一個 slave 來，會考慮 slave 的一些信息：

• 跟 master 斷開連接的時長
• slave 優先級
• 複製 offset
• run id

如果一個 slave 跟 master 斷開連接的時間已經超過了 down-after-milliseconds 的 10 倍，外加 master 宕機的時長，那麼 slave 就被認爲不適合選舉爲 master。

(down-after-milliseconds * 10) + milliseconds_since_master_is_in_SDOWN_state

接下來會對 slave 進行排序：

• 按照 slave 優先級進行排序，slave priority 越低，優先級就越高。
• 如果 slave priority 相同，那麼看 replica offset，哪個 slave 複製了越多的數據，offset 越靠後，優先級就越高。
• 如果上面兩個條件都相同，那麼選擇一個 run id 比較小的那個 slave。

quorum 和 majority

每次一個哨兵要做主備切換，首先需要 quorum 數量的哨兵認爲 odown，然後選舉出一個哨兵來做切換，這個哨兵還需要得到 majority 哨兵的授權，才能正式執行切換。

如果 quorum < majority，比如 5 個哨兵，majority 就是 3，quorum 設置爲 2，那麼就 3 個哨兵授權就可以執行切換。

但是如果 quorum >= majority，那麼必須 quorum 數量的哨兵都授權，比如 5 個哨兵，quorum 是 5，那麼必須 5 個哨兵都同意授權，才能執行切換。

configuration epoch

哨兵會對一套 redis master+slaves 進行監控，有相應的監控的配置。

執行切換的那個哨兵，會從要切換到的新 master（salve->master）那裏得到一個 configuration epoch，這就是一個 version 號，每次切換的 version 號都必須是唯一的。

如果第一個選舉出的哨兵切換失敗了，那麼其他哨兵，會等待 failover-timeout 時間，然後接替繼續執行切換，此時會重新獲取一個新的 configuration epoch，作爲新的 version 號。

configuration 傳播

哨兵完成切換之後，會在自己本地更新生成最新的 master 配置，然後同步給其他的哨兵，就是通過之前說的 pub/sub 消息機制。

這裏之前的 version 號就很重要了，因爲各種消息都是通過一個 channel 去發佈和監聽的，所以一個哨兵完成一次新的切換之後，新的 master 配置是跟着新的 version 號的。其他的哨兵都是根據版本號的大小來更新自己的 master 配置的。