麒麟V10下Keepalived启动失败，常见原因有哪些？

一、现象层：服务启动失败的直观表现

执行 systemctl start keepalived 后返回 failed，且 systemctl status keepalived 显示 inactive (dead) 或 failed (Result: exit-code)；ps aux | grep keepalived 无进程存在；ip addr show 中未出现配置的 VIP。这是所有排查工作的起点，不具诊断性但具备强可观测性。

二、日志层：精准定位首因的关键入口

必须优先执行：
journalctl -u keepalived -n 50 -e
重点关注首条 ERROR 或 Permission denied 行。典型输出示例：

• SELinux is preventing /usr/sbin/keepalived from execute access on the file keepalived.
• Failed to load module 'ip_vs': No such file or directory
• keepalived[1234]: Configuration file /etc/keepalived/keepalived.conf syntax error

三、配置层：语法与语义双重校验

使用 Keepalived 内置语法检查器验证配置有效性：

keepalived -t -f /etc/keepalived/keepalived.conf

常见错误类型及修复对照表：

四、依赖与运行时环境层：麒麟V10特有兼容性挑战

麒麟V10（SP1/SP2/SP3）基于 Linux Kernel 4.19+ & OpenSSL 1.1.1k 构建，与传统 CentOS/RHEL 生态存在关键差异：

• OpenSSL 版本断裂：Keepalived ≤ 2.0.19 默认链接 libssl.so.10，而麒麟V10仅提供 libssl.so.1.1；需重编译或安装适配包（如 keepalived-2.2.8-ky10 官方源版本）
• libnl3 依赖链：libnl-3.0 和 libnl-route-3.0 必须同时满足 ABI 兼容性；可通过 ldd /usr/sbin/keepalived | grep libnl 验证加载路径
• 内核模块缺失：最小化安装默认不加载 ip_vs 及其子模块（ip_vs_rr, ip_vs_wrr）；需执行：
  modprobe ip_vs && modprobe ip_vs_rr && echo 'ip_vs' >> /etc/modules

五、安全策略层：SELinux/YUMA/TSM 的静默拦截

麒麟V10默认启用 SELinux（Enforcing）及国产安全增强模块（YUMA/TSM）。即使配置正确，也可能被策略阻断：

# 检查 SELinux 拦截记录
ausearch -m avc -ts recent | grep keepalived

# 临时放行（仅用于验证）
setsebool -P keepalived_read_config on
setsebool -P keepalived_network_connect on

# 若启用 YUMA，需确认 /usr/sbin/keepalived 在白名单中（/etc/yuma/policy.conf）

六、系统服务管理层：systemd 单元深度调优

麒麟V10 的 systemd 对资源限制更严格。常见陷阱包括：

• LimitNOFILE=1024 过低 → VIP 绑定失败（尤其高并发场景）
• ProtectSystem=full 阻止写入 /proc/sys/net/ipv4/conf/*/arp_ignore
• CapabilityBoundingSet 缺失 CAP_NET_ADMIN CAP_NET_RAW

推荐覆盖式配置（/etc/systemd/system/keepalived.service.d/override.conf）：

[Service]
LimitNOFILE=65536
CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_RAW CAP_SYS_TIME
ProtectSystem=false
ReadWritePaths=/proc/sys/net/ipv4/conf/ /proc/sys/net/ipv4/vs/

七、根因溯源流程图（Mermaid）