إنشاء سرب Docker على Alpine Linux 3.9.0

• المقدمة
• المتطلبات الأساسية
• تعيين
• قم بتثبيت Alpine Linux 3.9.0 على الخوادم
• تكوين خادم ما بعد التثبيت
• قم بتثبيت Docker على خوادمك
• تهيئة سرب Docker مع عقدة مدير واحدة وعقدة عامل واحدة
• انشر Portainer باستخدام SSL لإدارة سرب Docker

المقدمة

سيوضح لك هذا الدليل كيفية إنشاء وتكوين سرب Docker باستخدام عدة خوادم Alpine Linux 3.9.0 و Portainer. يرجى الانتباه إلى أن Vultr يقدم تطبيق Docker بنقرة واحدة يدعم حاليًا كلاً من CentOS 7 x64 و Ubuntu 16.04 x64.

المتطلبات الأساسية

للبدء ، ستحتاج إلى خادمي VC2 على الأقل يعملان بنظام Alpine Linux 3.9.0. ضمن سرب Docker الخاص بك ، سيكون أحد هذه الخوادم بمثابة manager node- التواصل مع الشبكات الخارجية وتفويض الوظائف للعقد العاملة. سيعمل الخادم الآخر بعد ذلك كمهام worker nodeتنفيذية مفوضة إليه من قبل عقدة المدير.

لاحظ أنه يمكنك تشغيل أكثر من خادمين إذا كان تطبيقك يتطلب تكرارًا و / أو المزيد من طاقة الحوسبة ، وستظل الخطوات الواردة في هذا الدليل سارية.

تعيين

قم بزيارة واجهة نشر خادم Vultr .

تأكد من تحديد Vultr Cloud (VC2)علامة التبويب في أعلى الصفحة.

يمكنك تحديد أي موقع من Server Locationالقسم ، ولكن يجب أن تكون جميع الخوادم في نفس الموقع ، وإلا فلن يكون من الممكن نشر سرب Docker عليها.

حدد ISO Libraryعلامة تبويب Server Typeالقسم واختر Alpine Linux 3.9.0 x86_64الصورة.

حدد خيارًا مناسبًا من Server Sizeالقسم. سيستخدم هذا الدليل حجم خادم SSD 25 غيغابايت ، ولكن هذا قد يكون غير كافٍ لتلبية متطلبات موارد التطبيق الخاص بك. في حين أن Vultr يجعل من السهل ترقية حجم الخادم بعد إطلاقه بالفعل ، يجب عليك التفكير بعناية في حجم الخادم الذي يحتاج تطبيقك لأداءه على النحو الأمثل.

في Additional Featuresالقسم ، يجب عليك تحديد Enable Private Networkingالخيار. في حين أن الخيارات الأخرى ليست مطلوبة لاتباع هذا الدليل ، يجب أن تفكر فيما إذا كان كل واحد له معنى في سياق التطبيق الخاص بك.

إذا قمت مسبقًا بتمكين Multiple Private Networksالخيار على حسابك ، فسيتعين عليك حينئذٍ إما تحديد شبكة موجودة أو إنشاء شبكة خاصة جديدة لخوادمك. إذا لم تقم بتمكينه ، فيمكنك تجاهل هذا القسم. للحصول على معلومات حول تكوين الشبكات الخاصة يدويًا ، راجع هذا الدليل .

تخطي Firewall Groupالقسم الآن. فقط الخادم الذي يعمل كعقدة مدير في سرب Docker سيحتاج إلى منافذ مكشوفة ، ويجب تكوين هذا بعد نشر الخادم.

في الجزء السفلي من الصفحة ، يجب عليك إدخال Server Qtyاثنين على الأقل. كما ذكرنا سابقًا ، قد تحتاج إلى أكثر من خادمين ، لكن خادمان يكفيان لمتابعة هذا الدليل.

أخيرًا ، في Server Hostname & Labelالقسم ، أدخل أسماء مضيفات وتسميات ذات مغزى ولا تنسى لكل خادم. لأغراض هذا الدليل، واسم المضيف وتسمية الخادم الأول أن يكون docker-managerو Docker Manager، التوالي من و docker-workerو Docker Workerللمرة الثانية على التوالي.

بعد التحقق المزدوج من جميع التكوينات الخاصة بك ، يمكنك بعد ذلك النقر فوق Deploy Nowالزر الموجود في أسفل الصفحة لبدء تشغيل خوادمك.

قم بتثبيت Alpine Linux 3.9.0 على الخوادم

نظرًا لأنك اخترت نظام تشغيل من مكتبة ISO في Vultr ، فستحتاج إلى تثبيت Alpine Linux 3.9.0 وتكوينه يدويًا على كل خادم.

بعد منح Vultr دقيقة أو دقيقتين لتخصيص خوادمك ، انقر فوق more optionsرمز النقطة الثلاثية Docker Managerللخادم على واجهة إدارة الخادم ، ثم حدد View Consoleالخيار.

يجب إعادة توجيهك إلى وحدة تحكم بمطالبة تسجيل دخول. إذا لم يكن الأمر كذلك ، يرجى الانتظار دقيقة أخرى حتى ينتهي Vultr من نشر خوادمك.

في موجه تسجيل الدخول ، أدخل rootكاسم المستخدم. لا يتطلب الإصدار المباشر من Alpine Linux 3.9.0 (وهو ما تعمل عليه خوادمك حاليًا) المستخدم الخارق لإدخال كلمة مرور عند تسجيل الدخول.

بمجرد تسجيل الدخول بنجاح إلى الحساب الجذر ، سترى رسالة ترحيب متبوعة بموجه shell يبدو كما يلي:

localhost:~# 

لبدء تثبيت Alpine Linux ، أدخل الأمر التالي:

# setup-alpine

أولاً ، اختر تخطيط لوحة مفاتيح مناسب. سيستخدم هذا الدليل usالتخطيط والمتغير.

عند تعيين اسم المضيف ، اختر نفس اسم المضيف الذي قمت بتعيينه لهذا الخادم أثناء النشر. إذا كنت تتبع هذا الدليل بالضبط ، فيجب أن يكون اسم المضيف docker-manager.

يجب أن يتوفر واجهتا شبكة: eth0و eth1. إذا رأيت فقط eth0، فهذا يعني أنك لم تقم بتكوين شبكة الخوادم الخاصة بشكل صحيح. تهيئة eth0استخدام dhcp، وتهيئة eth1باستخدام عنوان IP الخاص، قناع الشبكة، والعبارة تم تعيين هذا الخادم أثناء النشر. يمكنك الوصول إلى هذه التفاصيل من واجهة إعدادات الخادم الخاص بك. عند المطالبة ، لا تقم بإجراء أي تكوين يدوي للشبكة.

أدخل كلمة مرور جديدة لحساب الجذر ، ثم حدد منطقة زمنية مناسبة للموقع الذي اخترت نشر هذه الخوادم فيه.

إذا كنت تنوي استخدام وكيل HTTP / FTP ، فأدخل عنوان URL الخاص به ، وإلا فلا تقم بتعيين عنوان URL للخادم الوكيل.

اختر عميل NTP لإدارة مزامنة ساعة النظام. سيستخدم هذا الدليل busybox.

عند طلب نسخة متطابقة من مستودع المستودعات ، اختر واحدة صراحة عن طريق إدخال رقمها ؛ اكتشاف وتحديد أسرع واحد تلقائيًا من خلال الدخول f؛ أو تحرير ملف تكوين المستودع يدويًا عن طريق الدخول e، وهو ما لا يوصى به إلا إذا كنت معتادًا على Alpine Linux. سيستخدم هذا الدليل المرآة الأولى.

إذا كنت تخطط لاستخدام SSH للوصول إلى خوادمك أو لاستضافة نظام ملفات قائم على SSH ، فحدد خادم SSH لاستخدامه. سيستخدم هذا الدليل openssh.

عند المطالبة للحصول على القرص لاستخدامها، واختيار القرص vdaكما sysنوع.

يجب الآن تثبيت Alpine Linux 3.9.0 على الخادم الخاص بك. كرر هذه العملية مع جميع الخوادم الأخرى التي نشرتها سابقًا ، مما يضمن استبدال القيم الصحيحة لاسم المضيف eth1وواجهة الشبكة.

تكوين خادم ما بعد التثبيت

في هذه المرحلة ، لا تزال خوادمك تعمل بإصدار ISO المباشر من Alpine Linux 3.9.0. للتمهيد من تثبيت SSD ، قم بزيارة واجهة الإعدادات لخادمك ، وانتقل إلى Custom ISOإدخال القائمة الجانبية ، وانقر فوق Remove ISOالزر. هذا يجب إعادة تشغيل الخادم. إذا لم يحدث ذلك ، فقم بإعادة التشغيل يدويًا.

بمجرد الانتهاء من إعادة تشغيل الخادم ، انتقل مرة أخرى إلى وحدة تحكم الويب للخادم Docker Manager.

قم بتسجيل الدخول إلى الحساب الجذر باستخدام كلمة المرور التي قمت بتعيينها مسبقًا أثناء عملية التثبيت.

قم بتمكين مستودع حزمة المجتمع عن طريق إلغاء تعليق السطر الثالث من /etc/apk/repositoriesالاستخدام vi. يمكنك تمكين مستودعات الحافة والاختبار بطريقة مماثلة ، ولكن ليس مطلوبًا اتباع هذا الدليل.

قم بمزامنة فهرس الحزمة المحلية للخادم مع المستودع البعيد الذي حددته سابقًا عن طريق إدخال أمر shell التالي:

# apk update

ثم ترقية الحزم القديمة:

# apk upgrade

كما كان من قبل ، كرر عملية التكوين هذه لكل خادم قمت بنشره مسبقًا.

قم بتثبيت Docker على خوادمك

قبل تثبيت حزمة Docker نفسها ، قد ترغب في إنشاء dockerمستخدم منفصل . يمكنك القيام بذلك باستخدام الأمر التالي:

# adduser docker

ملاحظة: يتمتع هذا المستخدم الجديد وأي مستخدمين تمت إضافتهم إلى dockerالمجموعة الجديدة بامتيازات الجذر بمجرد تثبيت حزمة Docker. راجع المشكلة التالية من مستودع Moby Github:

نظرًا --privilegedلداخل عامل الميناء ، فإن أي شخص تمت إضافته إلى مجموعة عامل الميناء هو مكافئ الجذر. أي شخص في مجموعة عامل الميناء لديه باب خلفي حول جميع سياسة تصعيد الامتيازات والتدقيق على النظام.

هذا يختلف عن قدرة شخص ما على تشغيل الركض sudo إلى الجذر ، حيث لديه سياسة ، والتدقيق المطبق عليه.

إذا كنت ترغب في منح sudo الإذن dockerللمستخدم ، فقم أولاً بتثبيت sudoالحزمة:

# apk add sudo

ثم قم بإنشاء sudoمجموعة:

# addgroup sudo

أخيرًا ، أضف dockerالمستخدم إلى sudoالمجموعة:

# adduser docker sudo

يمكنك الآن اتباع الخطوة 4 من هذا الدليل لإنهاء تكوين sudo.

عند هذه النقطة ، أنت جاهز لتثبيت حزمة Docker. لاحظ أنه ليس من الضروري تمامًا أن يكون لديك dockerمستخدم منفصل وقادر على sudo لتثبيت وتكوين Docker ، ولكن هذا الدليل يتبع هذه الاتفاقية.

قم بتثبيت حزمة Docker بالأمر التالي:

# apk add docker

ثم قم بتمكين البرنامج النصي Docker init:

# rc-update add docker

أخيرًا ، ابدأ برنامج Docker الخفي:

# rc-service docker start

يمكنك التحقق من تشغيل Docker باستخدام هذا الأمر:

# docker info

كما هو الحال في المرة الأخيرة ، كرر عملية تثبيت Docker لكل خادم قمت بنشره في البداية.

تهيئة سرب Docker مع عقدة مدير واحدة وعقدة عامل واحدة

مع معالجة كل هذا الإعداد ، فأنت جاهز أخيرًا لإنشاء سرب Docker.

إنشاء سرب وإضافة عقدة مدير

انتقل مرة أخرى إلى وحدة تحكم الويب لخادمك Docker Manager. ستقوم بتكوين هذا الخادم كعقدة مدير في سربك. إذا اخترت إنشاء dockerالمستخدم في وقت سابق ، فقم بتسجيل الدخول باستخدام هذا الحساب بدلاً من المستخدم الخارق.

أدخل الأمر التالي ، ولكن استبدل 192.0.2.1بعنوان IP الخاص (وليس العام) الذي Docker Managerتم تعيينه لخادمك:

$ docker swarm init --advertise-addr 192.0.2.1

سيعرض Docker أمرًا يمكنك تنفيذه على خوادم أخرى في الشبكة الخاصة لإضافتها كعقد عاملة إلى هذا السرب الجديد. احفظ هذا الأمر.

أضف عقدة عامل

انتقل الآن إلى وحدة تحكم الويب لخادمك Docker Worker، وقم بتسجيل الدخول مع dockerالمستخدم إذا قمت بإنشائه.

لإضافة هذا الخادم كعقدة عاملة إلى السرب الذي أنشأته للتو ، قم بتنفيذ الأمر الذي قمت بحفظه من إخراج أمر إنشاء swarm. ستبدو مشابهة لما يلي:

$ docker swarm join --token SWMTKN-1-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX-XXXXXXXXXXXXXXXXXXXXXXXXX 192.0.2.1:2377

سيخرج عامل الميناء ما إذا كانت العقدة قادرة على الانضمام إلى السرب. إذا واجهت مشاكل في إضافة عقد العامل إلى السرب ، فتحقق مرة أخرى من تكوين شبكتك الخاصة وارجع إلى هذا الدليل لاستكشاف الأخطاء وإصلاحها.

إذا قمت بنشر أكثر من خادمين في البداية ، يمكنك إضافة الباقي كعقد عامل إلى سربك باستخدام الأمر أعلاه ، مما يزيد من كمية الموارد المتاحة لتطبيقك. بدلاً من ذلك ، يمكنك إضافة عُقد مدير إضافية ، ولكن هذا يتجاوز نطاق هذا الدليل.

انشر Portainer باستخدام SSL لإدارة سرب Docker

عند هذه النقطة يكون سرب Docker جاهزًا للاستخدام. ومع ذلك ، يمكنك إطلاق مكدس Portainer اختياريًا على العقدة الإدارية في سربك. يوفر Portainer واجهة ويب مريحة لإدارة السرب والعقد فيه.

حان الوقت الآن لإنشاء مجموعة جدار حماية لسربك. ما لم يتطلب التطبيق الخاص بك على وجه التحديد ، فضح المنافذ فقط في عقد مديرك . يمكن أن يؤدي تعريض المنافذ على عقد العمل الخاصة بك دون دراسة دقيقة إلى حدوث نقاط ضعف.

انتقل إلى واجهة إدارة جدار الحماية وقم بإنشاء مجموعة جدار حماية جديدة. يجب أن يملي تطبيقك المنافذ التي 9000سيتم كشفها ، ولكن يجب عليك على الأقل كشف المنفذ لـ Portainer. قم بتطبيق مجموعة جدار الحماية هذه على Docker Managerالخادم.

على الرغم من أنه غير مطلوب ، فمن المستحسن تأمين Portainer باستخدام SSL. من أجل هذا الدليل ، ستستخدم فقط شهادة OpenSSL موقعة ذاتيًا ، ولكن يجب أن تفكر في استخدام Let's Encrypt في الإنتاج.

انتقل إلى وحدة تحكم الويب الخاصة Docker Managerبالخادم ، dockerوقم بتسجيل الدخول باستخدام المستخدم ، واستخدم الأوامر التالية لإنشاء شهادة OpenSSL موقعة ذاتيًا:

$ mkdir ~/certs
$ openssl genrsa -out ~/certs/portainer.key 2048
$ openssl req -new -x509 -sha256 -key ~/certs/portainer.key -out ~/certs/portainer.pem -days 3650

قم بإنشاء ملف جديد ~/portainer-agent-stack.ymlبالمحتويات التالية:

version: '3.2'

services:
  agent:
    image: portainer/agent
    environment:
      AGENT_CLUSTER_ADDR: tasks.agent
      CAP_HOST_MANAGEMENT: 1
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - /var/lib/docker/volumes:/var/lib/docker/volumes
      - /:/host
    networks:
      - agent_network
    deploy:
      mode: global

  portainer:
    image: portainer/portainer
    command: -H tcp://tasks.agent:9001 --tlsskipverify --ssl --sslcert /certs/portainer.pem --sslkey /certs/portainer.key
    ports:
      - target: 9000
        published: 9000
        protocol: tcp
        mode: host
    volumes:
      - portainer_data:/data
      - /home/docker/certs:/certs
    networks:
      - agent_network
    deploy:
      mode: replicated
      replicas: 1
      placement:
        constraints: [node.role == manager]

networks:
  agent_network:
    driver: overlay
    attachable: true

volumes:
  portainer_data:

بعد تعديل ملف تكوين مكدس Docker هذا ليتوافق مع متطلباتك ، يمكنك نشره:

$ docker stack deploy --compose-file ~/portainer-agent-stack.yml portainer

للتحقق من عمل Portainer ، قم بتنفيذ الأمر التالي بعد إعطاء Docker دقيقة أو دقيقتين لنشر المكدس:

$ docker ps

سترى حاويتين مع الصور portainer/portainer:latestو portainer/agent:latest، والتحقق من أن Portainer التي بشكل صحيح.

يمكنك الآن تكوين وإدارة سرب Docker الخاص بك عن طريق زيارة عنوان IP العام لخادمك Docker Managerعلى المنفذ 9000باستخدام HTTPS.