Sticky Session mit Docker Swarm (CE) unter CentOS 7

• Einführung
• Voraussetzungen
• Wer bin ich
• Traefik einrichten
• Wie es funktioniert

Einführung

Docker Swarm verwandelt Ihre einzelnen Server in einen Cluster von Computern und erleichtert so die Skalierung, Hochverfügbarkeit und den Lastausgleich. Der Swarm-Load-Balancer implementiert eine Round-Robin-Load-Balancing-Strategie. Dies kann die ordnungsgemäße Funktion von (Legacy-) Stateful-Anwendungen beeinträchtigen, für die eine Form von Sticky-Sessions erforderlich ist, um ein Hochverfügbarkeits-Setup mit mehreren Instanzen zu ermöglichen. Docker Enterprise Edition unterstützt Layer-7-Sticky-Sessions. In diesem Handbuch konzentrieren wir uns jedoch auf die kostenlose (CE) Version von Docker. Um Sticky Sessions zu implementieren, verwenden wir Traefik.

Voraussetzungen

• Mindestens zwei neu bereitgestellte und aktualisierte CentOS 7-Instanzen im selben Subnetz mit aktiviertem privaten Netzwerk
• Docker CE wurde auf diesen Instanzen installiert
• Die Instanzen sollten Teil desselben Schwarms sein und über das private Netzwerk miteinander kommunizieren können
• Vorkenntnisse in Docker und Docker Swarm
• Ein Benutzer ohne Administratorrechte mit Sudo-Rechten (optional, es wird jedoch dringend empfohlen, den Root-Benutzer nicht zu verwenden).

In diesem Lernprogramm werden zwei Vultr-Instanzen mit den privaten IP-Adressen 192.168.0.100 und 192.168.0.101 verwendet. Beide sind Docker Swarm-Manager-Knoten (was nicht ideal für die Produktion ist, aber für dieses Lernprogramm ausreicht).

Wer bin ich

In diesem Tutorial wird das jwilder/whoamiDocker-Image als Demo-Anwendung verwendet. Dieser einfache Container antwortet auf einen REST-Aufruf mit dem Namen des antwortenden Containers, wodurch es sehr einfach ist zu testen, ob die Sticky-Sitzungen funktionieren. Dieses Bild wird nur für Demozwecke verwendet und muss durch das Bild Ihrer eigenen Anwendung ersetzt werden. Das whoami-serviceist wie folgt konfiguriert:

sudo docker network create whoaminet -d overlay
sudo docker service create --name whoami-service --mode global --network whoaminet --publish "80:8000" jwilder/whoami
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload

Wenn wir anschließend curlden whoamiREST-Endpunkt auf setzen würden http://192.168.0.100/, könnten wir den Round-Robin-Lastausgleich von Docker Swarm bei der Arbeit sehen.

curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3

Es hat keinen Sinn, dies mit modernen Browsern wie Chrome oder Firefox zu testen, da sie so konzipiert sind, dass Verbindungen am Leben bleiben (offen) und der Docker Swarm Load Balancer nur bei jeder neuen Verbindung zum anderen Container wechselt . Wenn Sie dies mit einem Browser testen möchten, müssen Sie mindestens 30 Sekunden warten, bis die Verbindung geschlossen ist, bevor Sie erneut aktualisieren.

Traefik einrichten

Traefik unterstützt Docker Swarm nativ, kann Container im laufenden Betrieb erkennen und registrieren oder die Registrierung aufheben und kommuniziert mit Ihrer Anwendung über das interne Overlay-Netzwerk. Traefik benötigt einige Informationen zu Ihrer Anwendung, bevor es Anfragen bearbeiten kann. Diese Informationen werden Traefik durch Hinzufügen von Etiketten zu Ihrem Swarm-Service zur Verfügung gestellt.

sudo docker service update --label-add "traefik.docker.network=whoaminet" --label-add "traefik.port=8000" --label-add "traefik.frontend.rule=PathPrefix:/" --label-add "traefik.backend.loadbalancer.stickiness=true" whoami-service

Die folgende Liste beschreibt, was jedes Etikett bedeutet:

• traefik.docker.network: Das Docker-Overlay-Netzwerk, über das Traefik mit Ihrem Dienst kommuniziert
• traefik.port: Der Port, an dem Ihr Dienst empfangsbereit ist (dies ist der intern exponierte Port, nicht der veröffentlichte Port).
• traefik.frontend.rule: PathPrefix:/bindet den Kontextstamm /an diesen Dienst.
• traefik.backend.loadbalancer.stickiness: Aktiviert Sticky Sessions für diesen Dienst

Nun , da das whoami-servicehat mit den erforderlichen Etiketten konfiguriert wurde, können wir die Traefik Service zum Schwarm hinzu:

sudo docker service create --name traefik -p8080:80 -p9090:8080 --mount type=bind,source=/var/run/docker.sock,destination=/var/run/docker.sock --mode=global --constraint 'node.role == manager' --network whoaminet traefik --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG

Dieser Befehl erledigt eine ganze Reihe von Dingen gleichzeitig. In der folgenden Liste wird Folgendes näher erläutert:

• --name traefik: Der Name unseres neuen Docker-Dienstes lautet traefik
• -p8080:80: Wir veröffentlichen Traefiks Port 80zu Port 8080(Port 80wird bereits von unserem genutzt whoami-service)
• -p9090:8080: Wir veröffentlichen Traefiks eigenes Webinterface für den Port 9090
• --mount ...: Wir montieren den Docker Socket in den Container, damit Traefik auf die Docker-Laufzeit des Hosts zugreifen kann
• --global: Wir möchten aus Hochverfügbarkeitsgründen Traefik-Container auf jedem Manager-Knoten
• --constraint 'node.role == manager': Wir möchten, dass Traefik nur auf Manager-Knoten ausgeführt wird, da Worker-Knoten Traefik nicht mit den erforderlichen Informationen versorgen können. Zum Beispiel docker service lsauf einem Arbeiter Knoten nicht funktioniert, so Traefik würde nicht einmal in der Lage sein , zu entdecken , was Dienste ausgeführt werden
• --network whoaminet: Verbindet Traefik mit demselben Netzwerk wie wir whoami-service, andernfalls können sie keine Verbindung herstellen. Wir haben Traefik zuvor angewiesen, über dieses Netzwerk mit dem traefik.docker.networkLabel eine Verbindung zu unserem Service herzustellen
• traefik: Weisen Sie Docker an, das neueste Traefik-Docker-Image für diesen Dienst zu verwenden
• --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG: Befehlszeilenargumente, die direkt an Traefik übergeben wurden, damit es im Docker-Schwarmmodus ausgeführt werden kann ( --loglevel=DEBUGist hier optional, aber während des Setups und für dieses Tutorial interessant).

Sie müssen nur noch die erforderlichen Ports in der CentOS-Firewall öffnen:

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --zone=public --add-port=9090/tcp --permanent
sudo firewall-cmd --reload

Wie es funktioniert

Sobald Traefik startet, können Sie in den Protokollen sehen, dass Traefik die beiden whoamiContainer entdeckt. Es gibt auch den Cookie-Namen aus, mit dem die Sticky-Sitzung behandelt wird:

time="2018-11-25T13:17:30Z" level=debug msg="Configuration received from provider docker: {\"backends\":{\"backend-whoami-service\":{\"servers\":{\"server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05\":{\"url\":\"http://10.0.0.5:8000\",\"weight\":1},\"server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6\":{\"url\":\"http://10.0.0.4:8000\",\"weight\":1}},\"loadBalancer\":{\"method\":\"wrr\",\"stickiness\":{}}}},\"frontends\":{\"frontend-PathPrefix-0\":{\"entryPoints\":[\"http\"],\"backend\":\"backend-whoami-service\",\"routes\":{\"route-frontend-PathPrefix-0\":{\"rule\":\"PathPrefix:/\"}},\"passHostHeader\":true,\"priority\":0,\"basicAuth\":null}}}"
time="2018-11-25T13:17:30Z" level=debug msg="Wiring frontend frontend-PathPrefix-0 to entryPoint http"
time="2018-11-25T13:17:30Z" level=debug msg="Creating backend backend-whoami-service"
time="2018-11-25T13:17:30Z" level=debug msg="Adding TLSClientHeaders middleware for frontend frontend-PathPrefix-0"
time="2018-11-25T13:17:30Z" level=debug msg="Creating load-balancer wrr"
time="2018-11-25T13:17:30Z" level=debug msg="Sticky session with cookie _a49bc"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05 at http://10.0.0.5:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6 at http://10.0.0.4:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating route route-frontend-PathPrefix-0 PathPrefix:/"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :80"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :8080"

Wenn wir http://192.168.0.100:8080uns zusammenrollen, können wir sehen, dass ein neuer Cookie _a49bcgesetzt wurde:

curl -v http://192.168.0.100:8080
* About to connect() to 192.168.0.100 port 8080 (#0)
*   Trying 192.168.0.100...
* Connected to 192.168.0.100 (192.168.0.100) port 8080 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.0.100:8080
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Length: 17
< Content-Type: text/plain; charset=utf-8
< Date: Sun, 25 Nov 2018 13:18:40 GMT
< Set-Cookie: _a49bc=http://10.0.0.5:8000; Path=/
<
I'm a6a8c9294fc3
* Connection #0 to host 192.168.0.100 left intact

Wenn wir dieses Cookie bei späteren Anrufen an Traefik senden, werden wir immer an denselben Container weitergeleitet:

curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3

Das Cookie enthält nur die interne (Overlay-) IP-Adresse des Containers, an den Traefik eine Anfrage senden soll. Wenn Sie den Cookie-Wert in ändern, http://10.0.0.4:8000wird die Anforderung effektiv an den anderen Container weitergeleitet. Wenn das Cookie niemals erneut an Traefik gesendet wird, funktioniert die Sticky-Sitzung nicht und die Anforderungen werden zwischen den Containern der Anwendung und den Traefik-Containern ausgeglichen.

Das ist alles, was zum Einrichten von Layer 7 Sticky Sessions in Docker CE unter CentOS 7 erforderlich ist.