Sticky Session with Docker Swarm (CE) na Debiane 9

Úvod

Docker Swarm premení vaše jednotlivé servery na zhluk počítačov; uľahčuje škálovanie, vysokú dostupnosť a vyrovnávanie záťaže. Swarm load-balancer implementuje cyklickú stratégiu vyvažovania záťaže, čo môže narúšať správne fungovanie (starších) stavových aplikácií, ktoré vyžadujú určitú formu pevných relácií, aby sa umožnilo vysoko dostupné nastavenie s viacerými inštanciami. Docker Enterprise Edition podporuje lepiacu reláciu Layer-7, ale v tejto príručke sa zameriame na bezplatnú (CE) verziu Docker. Na implementáciu pevných relácií použijeme Traefik.

Predpoklady

• Aspoň dve čerstvo nasadené a aktualizované inštancie Debianu 9 v rovnakej podsieti s povolenou privátnou sieťou
• Docker CE nainštalovaný v týchto inštanciách
• Inštancie by mali byť súčasťou toho istého Swarmu a mali by byť schopné navzájom komunikovať cez privátnu sieť
• Predchádzajúca znalosť Docker a Docker Swarm
• Používateľ bez sudooprávnenia root s právami (voliteľné, ale dôrazne sa odporúča nepoužívať používateľa root)

V tomto návode budeme používať dve inštancie Vultr so súkromnými IP adresami 192.168.0.100a 192.168.0.101. Obidva sú uzly správcu Docker Swarm (čo nie je ideálne na výrobu, ale pre tento tutoriál stačí).

Kto som

Tento tutoriál používa jwilder/whoamiobrázok dockera ako ukážkovú aplikáciu. Tento jednoduchý kontajner bude reagovať na volanie REST s názvom odpovedajúceho kontajnera, vďaka čomu bude veľmi jednoduché otestovať, či funkčné relácie fungujú. Tento obrázok sa zjavne používa iba na účely ukážky a je potrebné ho nahradiť obrázkom vašej vlastnej aplikácie.

Služba whoami je nakonfigurovaná nasledovne:

sudo docker network create whoaminet -d overlay
sudo docker service create --name whoami-service --mode global --network whoaminet --publish "80:8000"  jwilder/whoami
sudo iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT

Ak následne použijeme curlkoncový bod whoami REST na http://192.168.0.100/, môžeme vidieť, ako funguje cyklické vyvažovanie záťaže Docker Swarm:

curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3

Nemá zmysel testovať to s modernými prehliadačmi, ako je Chrome alebo Firefox, pretože sú navrhnuté tak, aby udržiavali pripojenia nažive a vyrovnávač zaťaženia Docker Swarm sa pri každom novom pripojení prepne na iný kontajner . Ak to chcete otestovať pomocou prehliadača, budete musieť počkať aspoň 30 sekúnd, kým sa pripojenie zatvorí, a potom znova obnoviť.

Nastavenie Traefik

Traefik natívne podporuje Docker Swarm, dokáže detekovať a registrovať alebo odregistrovať kontajnery za chodu a komunikuje s vašou aplikáciou cez internú overlay sieť. Traefik potrebuje nejaké informácie o vašej aplikácii predtým, ako bude môcť začať vybavovať žiadosti o ňu. Tieto informácie poskytuje Traefik pridaním štítkov do vašej služby Swarm:

sudo docker service update --label-add "traefik.docker.network=whoaminet" --label-add "traefik.port=8000" --label-add "traefik.frontend.rule=PathPrefix:/" --label-add "traefik.backend.loadbalancer.stickiness=true" whoami-service

Nasledujúci zoznam popisuje, čo znamenajú jednotlivé štítky:

• traefik.docker.network : Prekryvná sieť Docker, cez ktorú bude Traefik komunikovať s vašou službou
• traefik.port : Port, na ktorom vaša služba počúva (ide o interne exponovaný port, nie publikovaný port)
• traefik.frontend.rule: PathPrefix:/ viaže koreň kontextu ' /' na túto službu
• traefik.backend.loadbalancer.stickiness : Povolí pre túto službu trvalé relácie

Teraz, keď whoami-servicebol nakonfigurovaný s požadovanými štítkami, môžeme do roja pridať službu Traefik:

sudo docker service create --name traefik -p8080:80 -p9090:8080 --mount type=bind,source=/var/run/docker.sock,destination=/var/run/docker.sock --mode=global --constraint 'node.role == manager' --network whoaminet traefik --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG

Tento príkaz robí veľa vecí naraz, ako je uvedené v nasledujúcom zozname:

• --name traefik : Naša nová služba Docker sa volá Traefik
• -p8080:80: Zverejňujeme Traefikov port 80na port, 8080pretože port 80už používa naša služba whoami
• -p9090:8080 : Zverejňujeme vlastné webové rozhranie Traefiku na port 9090
• --mount ... : Pripojíme zásuvku Docker do kontajnera, aby Traefik mohol pristupovať k hostiteľskému runtime Docker
• --global : Chceme kontajnery Traefik na každom manažérskom uzle z dôvodu vysokej dostupnosti
• --constraint 'node.role == manager': Chceme, aby Traefik bežal iba na manažérskych uzloch, pretože pracovné uzly nedokážu Traefiku poskytnúť informácie, ktoré potrebuje. Napríklad docker service lsna pracovnom uzle nefunguje, takže Traefik by ani nebol schopný zistiť, aké služby sú spustené
• --network whoaminet: Pripojte Traefik k rovnakej sieti ako náš whoami-service, inak sa k nej nemôže pripojiť. Predtým sme Traefikovi povedali, aby sa pripojil k našej službe cez túto sieť s traefik.docker.networkoznačením
• traefik : Povedzte dockerovi, aby pre túto službu použil najnovší obraz Traefik docker
• --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG: Argumenty príkazového riadka odovzdané priamo Traefiku, aby bolo možné spustiť v režime Docker swarm. DEBUGje tu voliteľný, ale zaujímavý počas nastavenia a pre tento návod

Všetko, čo zostáva, je otvoriť potrebné porty v bráne firewall Debianu:

sudo iptables -I INPUT 1 -p tcp --dport 8080 -j ACCEPT
sudo iptables -I INPUT 1 -p tcp --dport 9090 -j ACCEPT

Ako to funguje

Hneď ako sa Traefik spustí, v protokoloch uvidíte, že Traefik objavil dva whoamikontajnery. Výstupom je aj názov súboru cookie, ktorý sa použije na spracovanie pevnej relácie:

time="2018-11-25T13:17:30Z" level=debug msg="Configuration received from provider docker: {\"backends\":{\"backend-whoami-service\":{\"servers\":{\"server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05\":{\"url\":\"http://10.0.0.5:8000\",\"weight\":1},\"server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6\":{\"url\":\"http://10.0.0.4:8000\",\"weight\":1}},\"loadBalancer\":{\"method\":\"wrr\",\"stickiness\":{}}}},\"frontends\":{\"frontend-PathPrefix-0\":{\"entryPoints\":[\"http\"],\"backend\":\"backend-whoami-service\",\"routes\":{\"route-frontend-PathPrefix-0\":{\"rule\":\"PathPrefix:/\"}},\"passHostHeader\":true,\"priority\":0,\"basicAuth\":null}}}"
time="2018-11-25T13:17:30Z" level=debug msg="Wiring frontend frontend-PathPrefix-0 to entryPoint http"
time="2018-11-25T13:17:30Z" level=debug msg="Creating backend backend-whoami-service"
time="2018-11-25T13:17:30Z" level=debug msg="Adding TLSClientHeaders middleware for frontend frontend-PathPrefix-0"
time="2018-11-25T13:17:30Z" level=debug msg="Creating load-balancer wrr"
time="2018-11-25T13:17:30Z" level=debug msg="Sticky session with cookie _a49bc"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05 at http://10.0.0.5:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6 at http://10.0.0.4:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating route route-frontend-PathPrefix-0 PathPrefix:/"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :80"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :8080"

Ak sa stočíme na http://192.168.0.100:8080, vidíme, že bol nastavený nový súbor cookie _a49bc:

curl -v http://192.168.0.100:8080
* About to connect() to 192.168.0.100 port 8080 (#0)
*   Trying 192.168.0.100...
* Connected to 192.168.0.100 (192.168.0.100) port 8080 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.0.100:8080
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Length: 17
< Content-Type: text/plain; charset=utf-8
< Date: Sun, 25 Nov 2018 13:18:40 GMT
< Set-Cookie: _a49bc=http://10.0.0.5:8000; Path=/
<
I'm a6a8c9294fc3
* Connection #0 to host 192.168.0.100 left intact

Ak pri ďalších hovoroch pošleme tento súbor cookie spoločnosti Traefik, budeme vždy presmerovaní do rovnakého kontajnera:

curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3

Súbor cookie neobsahuje nič iné ako internú IP adresu kontajnera, na ktorý má Traefik odoslať žiadosť. Ak zmeníte hodnotu http://10.0.0.4:8000súboru cookie na , požiadavka bude efektívne preposlaná do iného kontajnera. Ak by sa súbor cookie nikdy znova neodoslal do Traefiku, potom relácia s pevnosťou nebude fungovať a požiadavky budú vyvážené medzi kontajnermi aplikácie a kontajnermi Traefik.

To je všetko, čo je potrebné na nastavenie Sticky Sessions vrstvy 7 v Docker CE na Debiane 9.