Sticky Session With Docker Swarm (CE) na CentOS 7

Úvod

Docker Swarm premení vaše jednotlivé servery na zhluk počítačov, čo uľahčuje škálovanie, vysokú dostupnosť a vyrovnávanie záťaže. Swarm load-balancer implementuje cyklickú stratégiu vyvažovania záťaže a to môže narúšať správne fungovanie (starších) stavových aplikácií, ktoré vyžadujú určitú formu pevných relácií, aby sa umožnilo nastavenie vysokej dostupnosti s viacerými inštanciami. Docker Enterprise Edition podporuje lepiacu reláciu Layer-7, ale v tejto príručke sa zameriame na bezplatnú (CE) verziu Docker. Na implementáciu pevných relácií použijeme Traefik.

Predpoklady

• Aspoň dve čerstvo nasadené a aktualizované inštancie CentOS 7 v rovnakej podsieti s povolenou privátnou sieťou
• Docker CE nainštalovaný v týchto inštanciách
• Inštancie by mali byť súčasťou toho istého Swarmu a mali by byť schopné navzájom komunikovať cez privátnu sieť
• Predchádzajúca znalosť Docker a Docker Swarm
• Používateľ bez správcu s právami sudo (voliteľné, ale dôrazne sa odporúča nepoužívať používateľa root)

V tomto návode použijeme dve inštancie Vultr so súkromnými IP adresami 192.168.0.100 a 192.168.0.101, obe sú uzly manažéra Docker Swarm (čo nie je ideálne pre produkciu, ale pre tento návod postačuje).

Kto som

Tento tutoriál používa jwilder/whoamiobrázok dockera ako ukážkovú aplikáciu. Tento jednoduchý kontajner bude reagovať na volanie REST s názvom odpovedajúceho kontajnera, vďaka čomu bude veľmi jednoduché otestovať, či funkčné relácie fungujú. Tento obrázok sa používa iba na účely ukážky a je potrebné ho nahradiť obrázkom vašej vlastnej aplikácie. Je whoami-servicenakonfigurovaný nasledovne:

sudo docker network create whoaminet -d overlay
sudo docker service create --name whoami-service --mode global --network whoaminet --publish "80:8000" jwilder/whoami
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload

Keby sme následne REST koncového bodu na , môžeme vidieť round-robin load-balancing of Docker Roje v práci.curlwhoamihttp://192.168.0.100/

curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3

Nemá zmysel testovať to s modernými prehliadačmi, ako je Chrome alebo Firefox, pretože sú navrhnuté tak, aby udržiavali pripojenia nažive (otvorené) a vyrovnávač zaťaženia Docker Swarm sa pri každom novom pripojení prepne na iný kontajner . Ak to chcete otestovať pomocou prehliadača, budete musieť počkať aspoň 30 sekúnd, kým sa pripojenie zatvorí, a potom znova obnoviť.

Nastavenie Traefik

Traefik natívne podporuje Docker Swarm, dokáže detekovať a registrovať alebo odregistrovať kontajnery za chodu a komunikuje s vašou aplikáciou cez internú overlay sieť. Traefik potrebuje nejaké informácie o vašej aplikácii predtým, ako bude môcť začať vybavovať žiadosti o ňu. Tieto informácie poskytuje Traefik pridaním štítkov do vašej služby Swarm.

sudo docker service update --label-add "traefik.docker.network=whoaminet" --label-add "traefik.port=8000" --label-add "traefik.frontend.rule=PathPrefix:/" --label-add "traefik.backend.loadbalancer.stickiness=true" whoami-service

Nižšie uvedený zoznam popisuje význam jednotlivých označení:

• traefik.docker.network: Prekryvná sieť Docker, cez ktorú bude Traefik komunikovať s vašou službou
• traefik.port: Port, na ktorom vaša služba počúva (ide o interne exponovaný port, nie publikovaný port)
• traefik.frontend.rule: PathPrefix:/spája koreňový adresár kontextu /s touto službou.
• traefik.backend.loadbalancer.stickiness: Povolí pre túto službu trvalé relácie

Teraz, keď whoami-servicebol nakonfigurovaný s požadovanými štítkami, môžeme do roja pridať službu Traefik:

sudo docker service create --name traefik -p8080:80 -p9090:8080 --mount type=bind,source=/var/run/docker.sock,destination=/var/run/docker.sock --mode=global --constraint 'node.role == manager' --network whoaminet traefik --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG

Tento príkaz robí veľa vecí naraz. Nižšie uvedený zoznam vysvetlí podrobnejšie:

• --name traefik: Názov našej novej služby Docker je traefik
• -p8080:80: Zverejňujeme Traefikov port 80na port 8080(port 80už používa náš whoami-service)
• -p9090:8080: Zverejňujeme vlastné webové rozhranie Traefiku na port 9090
• --mount ...: Pripojíme zásuvku Docker do kontajnera, aby Traefik mohol pristupovať k hostiteľskému runtime Docker
• --global: Chceme kontajnery Traefik na každom manažérskom uzle z dôvodu vysokej dostupnosti
• --constraint 'node.role == manager': Chceme, aby Traefik bežal iba na manažérskych uzloch, pretože pracovné uzly nedokážu Traefiku poskytnúť informácie, ktoré potrebuje. Napríklad docker service lsna pracovnom uzle nefunguje, takže Traefik by ani nebol schopný zistiť, aké služby sú spustené
• --network whoaminet: Pripája Traefik k rovnakej sieti ako naša whoami-service, inak sa nemôžu pripojiť. Predtým sme Traefikovi povedali, aby sa pripojil k našej službe cez túto sieť s traefik.docker.networkoznačením
• traefik: Povedzte dockerovi, aby pre túto službu použil najnovší obraz Traefik docker
• --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG: Argumenty príkazového riadku odovzdané priamo do Traefiku, aby sa mohol spustiť v režime Docker swarm ( --loglevel=DEBUGtu je voliteľný, ale zaujímavý počas nastavenia a pre tento tutoriál)

Zostáva už len otvoriť potrebné porty v CentOS firewalle:

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --zone=public --add-port=9090/tcp --permanent
sudo firewall-cmd --reload

Ako to funguje

Hneď ako sa Traefik spustí, v protokoloch uvidíte, že Traefik objavil dva whoamikontajnery. Výstupom je aj názov súboru cookie, ktorý sa použije na spracovanie pevnej relácie:

time="2018-11-25T13:17:30Z" level=debug msg="Configuration received from provider docker: {\"backends\":{\"backend-whoami-service\":{\"servers\":{\"server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05\":{\"url\":\"http://10.0.0.5:8000\",\"weight\":1},\"server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6\":{\"url\":\"http://10.0.0.4:8000\",\"weight\":1}},\"loadBalancer\":{\"method\":\"wrr\",\"stickiness\":{}}}},\"frontends\":{\"frontend-PathPrefix-0\":{\"entryPoints\":[\"http\"],\"backend\":\"backend-whoami-service\",\"routes\":{\"route-frontend-PathPrefix-0\":{\"rule\":\"PathPrefix:/\"}},\"passHostHeader\":true,\"priority\":0,\"basicAuth\":null}}}"
time="2018-11-25T13:17:30Z" level=debug msg="Wiring frontend frontend-PathPrefix-0 to entryPoint http"
time="2018-11-25T13:17:30Z" level=debug msg="Creating backend backend-whoami-service"
time="2018-11-25T13:17:30Z" level=debug msg="Adding TLSClientHeaders middleware for frontend frontend-PathPrefix-0"
time="2018-11-25T13:17:30Z" level=debug msg="Creating load-balancer wrr"
time="2018-11-25T13:17:30Z" level=debug msg="Sticky session with cookie _a49bc"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05 at http://10.0.0.5:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6 at http://10.0.0.4:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating route route-frontend-PathPrefix-0 PathPrefix:/"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :80"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :8080"

Ak sa stočíme na http://192.168.0.100:8080, vidíme, že _a49bcbol nastavený nový súbor cookie :

curl -v http://192.168.0.100:8080
* About to connect() to 192.168.0.100 port 8080 (#0)
*   Trying 192.168.0.100...
* Connected to 192.168.0.100 (192.168.0.100) port 8080 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.0.100:8080
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Length: 17
< Content-Type: text/plain; charset=utf-8
< Date: Sun, 25 Nov 2018 13:18:40 GMT
< Set-Cookie: _a49bc=http://10.0.0.5:8000; Path=/
<
I'm a6a8c9294fc3
* Connection #0 to host 192.168.0.100 left intact

Ak pri ďalších hovoroch pošleme tento súbor cookie spoločnosti Traefik, budeme vždy presmerovaní do rovnakého kontajnera:

curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3

Súbor cookie neobsahuje nič iné ako internú (prekryvnú) IP adresu kontajnera, na ktorý má Traefik odoslať požiadavku. Ak zmeníte hodnotu súboru cookie na, http://10.0.0.4:8000požiadavka bude efektívne preposlaná do iného kontajnera. Ak by sa súbor cookie nikdy znova neodoslal do Traefiku, relácia s pevnosťou nebude fungovať a požiadavky budú vyvážené medzi kontajnermi aplikácie a kontajnermi Traefik.

To je všetko, čo je potrebné na nastavenie Layer 7 Sticky Sessions v Docker CE na CentOS 7.