Sticky Session with Docker Swarm (CE) na Debianu 9

Uvod

Docker Swarm spremeni vaše posamezne strežnike v gručo računalnikov; omogoča skaliranje, visoko razpoložljivost in uravnavanje obremenitve. Uravnavalec obremenitve Swarm izvaja krožno strategijo uravnoteženja obremenitve, kar lahko moti pravilno delovanje (podedovanih) aplikacij s stanjem, ki zahtevajo neko obliko lepljivih sej, da omogočijo visoko razpoložljivo nastavitev z več primerki. Docker Enterprise Edition podpira lepljivo sejo Layer-7, vendar se bomo v tem priročniku osredotočili na brezplačno (CE) različico Dockerja. Za implementacijo lepljivih sej bomo uporabili Traefik.

Predpogoji

• Vsaj dva sveže nameščena in posodobljena primerka Debian 9 v istem podomrežju z omogočenim zasebnim omrežjem
• Docker CE, nameščen na teh primerkih
• Primerki bi morali biti del istega roja in bi morali biti sposobni komunicirati drug z drugim prek zasebnega omrežja
• Predznanje Docker in Docker Swarm
• Nekorenski uporabnik s sudopravicami (izbirno, vendar je zelo priporočljivo, da ne uporabljate korenskega uporabnika)

V tej vadnici bomo uporabili dva primerka Vultr z zasebnimi naslovi IP 192.168.0.100in 192.168.0.101. Oba sta vozlišči upravitelja Docker Swarm (kar ni idealno za produkcijo, vendar je dovolj za to vadnico).

Kdo sem jaz

Ta vadnica uporablja jwilder/whoamisliko dockerja kot demo aplikacijo. Ta preprost vsebnik se bo na klic REST odzval z imenom vsebnika, ki se odziva, in tako bo zelo enostavno preizkusiti, ali lepljive seje delujejo. Ta slika se očitno uporablja samo za demo namene in jo je treba nadomestiti s sliko vaše lastne aplikacije.

Storitev whoami je konfigurirana na naslednji način:

sudo docker network create whoaminet -d overlay
sudo docker service create --name whoami-service --mode global --network whoaminet --publish "80:8000"  jwilder/whoami
sudo iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT

Če nato curlkončno točko whoami REST na http://192.168.0.100/, lahko vidimo, da deluje krožno uravnavanje obremenitve Docker Swarm:

curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3

Tega ni smiselno preizkušati s sodobnimi brskalniki, kot sta Chrome ali Firefox, ker so zasnovani tako, da ohranjajo povezave pri življenju, in Docker Swarm za uravnoteženje obremenitve bo preklopil na drugi vsebnik šele ob vsaki novi povezavi. Če želite to preizkusiti z brskalnikom, bi morali počakati vsaj 30 sekund, da se povezava zapre, preden ponovno osvežite.

Postavitev Traefik

Traefik izvorno podpira Docker Swarm, lahko zazna in registrira ali deregistrira vsebnike sproti in komunicira z vašo aplikacijo prek notranjega prekrivnega omrežja. Traefik potrebuje nekaj informacij o vaši aplikaciji, preden lahko začne obravnavati zahteve zanjo. Te informacije dobi podjetje Traefik z dodajanjem oznak vaši storitvi Swarm:

sudo docker service update --label-add "traefik.docker.network=whoaminet" --label-add "traefik.port=8000" --label-add "traefik.frontend.rule=PathPrefix:/" --label-add "traefik.backend.loadbalancer.stickiness=true" whoami-service

Naslednji seznam opisuje, kaj pomenijo posamezne oznake:

• traefik.docker.network : Prekrivno omrežje Docker, prek katerega bo Traefik komuniciral z vašo storitvijo
• traefik.port : vrata, na katerih vaša storitev posluša (to so interno izpostavljena vrata, ne objavljena vrata)
• traefik.frontend.rule: PathPrefix:/ poveže koren konteksta » /« s to storitvijo
• traefik.backend.loadbalancer.stickiness : Omogoča lepljive seje za to storitev

Zdaj, ko whoami-serviceje konfiguriran z zahtevanimi oznakami, lahko v roj dodamo storitev Traefik:

sudo docker service create --name traefik -p8080:80 -p9090:8080 --mount type=bind,source=/var/run/docker.sock,destination=/var/run/docker.sock --mode=global --constraint 'node.role == manager' --network whoaminet traefik --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG

Ta ukaz naredi veliko stvari hkrati, kot je prikazano na naslednjem seznamu:

• --name traefik : Ime naše nove storitve Docker je Traefik
• -p8080:80: Objavljamo Traefik's port 80to port, 8080ker pristanišča 80že uporablja naša storitev whoami
• -p9090:8080 : Objavljamo lasten spletni vmesnik Traefik za port 9090
• --mount ... : Docker Socket vgradimo v vsebnik, tako da lahko Traefik dostopa do izvajalnega časa Docker gostitelja
• --global : Zaradi visoke razpoložljivosti želimo vsebnike Traefik na vsakem upravljalnem vozlišču
• --constraint 'node.role == manager': Želimo, da se Traefik izvaja samo na upravljalskih vozliščih, ker delovna vozlišča Traefiku ne morejo zagotoviti informacij, ki jih potrebuje. Na primer, docker service lsna delovnem vozlišču ne deluje, tako da Traefik sploh ne bi mogel odkriti, katere storitve se izvajajo
• --network whoaminet: Traefik povežite z istim omrežjem kot naš whoami-service, sicer se ne more povezati z njim. Prej smo rekli Traefiku, naj se prek tega omrežja poveže z našo storitvijo z traefik.docker.networkoznako
• traefik : Dockerju povejte, naj za to storitev uporabi najnovejšo sliko dockerja Traefik
• --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG: Argumenti ukazne vrstice so bili posredovani neposredno Traefiku, da se omogoči izvajanje v načinu Docker roja. DEBUGje tu neobvezna, vendar zanimiva med namestitvijo in za to vadnico

Vse kar je preostalo je, da odprete potrebna vrata v požarnem zidu Debian:

sudo iptables -I INPUT 1 -p tcp --dport 8080 -j ACCEPT
sudo iptables -I INPUT 1 -p tcp --dport 9090 -j ACCEPT

Kako deluje

Takoj, ko se Traefik zažene, lahko vidite v dnevnikih, da Traefik odkrije oba whoamikontejnerja. Prav tako izpiše ime piškotka, ki ga bo uporabil za obdelavo lepljive seje:

time="2018-11-25T13:17:30Z" level=debug msg="Configuration received from provider docker: {\"backends\":{\"backend-whoami-service\":{\"servers\":{\"server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05\":{\"url\":\"http://10.0.0.5:8000\",\"weight\":1},\"server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6\":{\"url\":\"http://10.0.0.4:8000\",\"weight\":1}},\"loadBalancer\":{\"method\":\"wrr\",\"stickiness\":{}}}},\"frontends\":{\"frontend-PathPrefix-0\":{\"entryPoints\":[\"http\"],\"backend\":\"backend-whoami-service\",\"routes\":{\"route-frontend-PathPrefix-0\":{\"rule\":\"PathPrefix:/\"}},\"passHostHeader\":true,\"priority\":0,\"basicAuth\":null}}}"
time="2018-11-25T13:17:30Z" level=debug msg="Wiring frontend frontend-PathPrefix-0 to entryPoint http"
time="2018-11-25T13:17:30Z" level=debug msg="Creating backend backend-whoami-service"
time="2018-11-25T13:17:30Z" level=debug msg="Adding TLSClientHeaders middleware for frontend frontend-PathPrefix-0"
time="2018-11-25T13:17:30Z" level=debug msg="Creating load-balancer wrr"
time="2018-11-25T13:17:30Z" level=debug msg="Sticky session with cookie _a49bc"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05 at http://10.0.0.5:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6 at http://10.0.0.4:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating route route-frontend-PathPrefix-0 PathPrefix:/"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :80"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :8080"

Če se zvijemo na, http://192.168.0.100:8080lahko vidimo, da _a49bcje bil nastavljen nov piškotek :

curl -v http://192.168.0.100:8080
* About to connect() to 192.168.0.100 port 8080 (#0)
*   Trying 192.168.0.100...
* Connected to 192.168.0.100 (192.168.0.100) port 8080 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.0.100:8080
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Length: 17
< Content-Type: text/plain; charset=utf-8
< Date: Sun, 25 Nov 2018 13:18:40 GMT
< Set-Cookie: _a49bc=http://10.0.0.5:8000; Path=/
<
I'm a6a8c9294fc3
* Connection #0 to host 192.168.0.100 left intact

Če ob naslednjih klicih ta piškotek pošljemo Traefiku, bomo vedno preusmerjeni v isti vsebnik:

curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3

Piškotek ne vsebuje nič drugega kot notranji naslov IP vsebnika, na katerega naj Traefik pošlje zahtevo. Če spremenite vrednost piškotka na http://10.0.0.4:8000, bi bila zahteva dejansko posredovana drugemu vsebniku. Če piškotek nikoli ne bi bil ponovno poslan Traefiku, lepljiva seja ne bo delovala in zahteve bodo uravnotežene med vsebniki aplikacije in vsebniki Traefik.

To je vse, kar je potrebno za nastavitev lepljivih sej sloja 7 v Docker CE v Debianu 9.