Instalación de Docker en Ubuntu 14.04
¿Usando un sistema diferente? Docker es una aplicación que permite implementar programas que se ejecutan como contenedores. Fue escrito en el popular programa Go
Los contenedores LXC (contenedores Linux) son una característica del sistema operativo en Linux que se puede usar para ejecutar múltiples sistemas Linux aislados en un solo host.
Estas instrucciones lo guiarán a través de los pasos básicos de configuración del servidor para el alojamiento de contenedores de Linux aislados. Configuraremos las siguientes características:
ssh [email protected]
yssh [email protected]
Esta guía asume que:
Al final del tutorial, obtendremos dos contenedores virtuales que tendrán acceso a Internet, pero que no pueden hacer ping entre sí. También configuraremos el reenvío de puertos example.com
a los contenedores. Implementaremos un panel de configuración y administración seguro con la ayuda de herramientas del paquete Proxmox.
Usaremos Proxmox solo para la administración de contenedores LXC. En general, también es compatible con KVM, pero la virtualización anidada está prohibida en Vultr. Antes de comenzar, se debe descargar un ISO de Proxmox del sitio web oficial. Usaremos el Proxmox VE 5.0 ISO Installer
. Instale el sistema operativo desde la imagen con la configuración predeterminada y reinicie la máquina virtual. Además, puede instalar manualmente proxmox desde las fuentes, pero eso no es necesario en la mayoría de los casos (siga las instrucciones aquí ).
Conéctese a su host por SSH, actualice la lista de plantillas proxmox y descargue una plantilla adecuada para contenedores.
apt-get update
pveam update
pveam available
pveam download local ubuntu-14.04-standard_14.04-1_amd64.tar.gz
Ahora, necesitamos crear un contenedor de Linux con una interfaz de red conectada a un puente de Linux. Abra /etc/network/interfaces
y agregue las siguientes líneas:
auto vmbr1
iface vmbr1 inet static
address 10.100.0.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
Después de reiniciar el sistema, puede crear un nuevo contenedor a partir de la Ubuntu 14.04
plantilla.
pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.200/24,gw=10.100.0.1
Puede verificar su contenedor utilizando pct list
, inicie el contenedor # 200 con pct start 200
e ingrese su shell con pct enter 200
. También puede verificar la configuración de red y las direcciones con ip addr
.
Para proporcionar conexión a Internet dentro de su contenedor, debemos habilitarlo NAT
. Lo siguiente permitirá que el tráfico se reenvíe desde el contenedor a Internet con la ayuda de la tecnología NAT. El vmbr0
puente está conectado a la interfaz externa y el vmbr1
puente está conectado a los contenedores.
sysctl -w net.ipv4.ip_forward=1
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
iptables --append FORWARD --in-interface vmbr1 -j ACCEPT
Ingrese el contenedor con pct enter 200
y configure el servidor web dentro.
apt-get update
apt-get install nginx
service nginx start
exit
Ahora, necesitamos configurar Nginx en su servidor para proxy de sitios web en contenedores.
apt-get update
apt-get install nginx
Cree un nuevo archivo de configuración /etc/nginx/sites-available/box200
con el siguiente contenido:
server {
listen 80;
server_name server200.example.com;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
location / {
proxy_pass http://10.100.0.200/;
}
}
Nginx ahora enviará cada solicitud HTTP server200.example.com
de su servidor al contenedor con IP 10.100.0.200. Activa esta configuración.
ln -s /etc/nginx/sites-available/box200 /etc/nginx/sites-enabled/
service nginx restart
Si desea proporcionar un acceso fácil a los entornos limitados, debe reenviar las sesiones SSH a los contenedores. Para hacerlo, cree un nuevo usuario en su servidor raíz. No olvide ingresar una contraseña, otros parámetros no son necesarios.
adduser box200
su - box200
ssh-keygen
cat .ssh/id_rsa.pub
exit
Copie esta clave SSH e ingrese el contenedor para agregar la clave.
pct enter 200
mkdir .ssh
nano .ssh/authorized_keys
exit
En su servidor, agregue la siguiente línea al .ssh/authorized_keys
archivo.
command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>
No olvide cambiar <YOUR SSH KEY>
a la clave pública de su hogar. Alternativamente, puede ejecutar lo siguiente desde la línea de comandos.
echo 'command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>' >> .ssh/authorized_keys
Luego, puede conectarse a su sandbox con ssh.
`ssh box200@<your_server_IP>`
Es hora de implementar varias mejoras de seguridad. Primero, queremos cambiar el puerto SSH predeterminado. Entonces queremos proteger nuestra página de administración de Proxmox con autenticación HTTP básica.
nano /etc/ssh/sshd_config
Descomenta y cambia la línea
#Port 22
a
Port 24000
Reiniciar ssh.
service ssh restart
Vuelva a conectarse a ssh con el nuevo puerto.
ssh root@<your_IP> -p 24000
Crear el archivo /etc/default/pveproxy
.
ALLOW_FROM="127.0.0.1"
DENY_FROM="all"
POLICY="allow"
Reinicie pveproxy
para que los cambios surtan efecto.
/etc/init.d/pveproxy restart
Configure nginx (si no lo ha hecho antes).
apt-get install nginx
service nginx restart
Cree una configuración predeterminada en /etc/nginx/site-available/default
.
server {
listen 80;
server_name example.com;
rewrite ^ https://$hostname.example.com$request_uri? permanent;
}
server {
listen 443 ssl;
server_name example.com;
#auth_basic "Restricted";
#auth_basic_user_file htpasswd;
#location / { proxy_pass https://127.0.0.1:8006; }
}
Obtenga un certificado SSL válido y actualice su configuración nginx. Por ejemplo, se puede hacer con la ayuda de certbox y letsencrypt. Para más información, haga clic aquí .
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
./certbot-auto --nginx
Ahora, su configuración nginx debería verse así (o puede cambiarla manualmente después). No olvide descomentar las líneas ssl, auth y location.
server {
listen 80;
server_name example.com;
rewrite ^ https://$hostname.example.com$request_uri? permanent;
}
server {
listen 443 ssl;
server_name example.com;
ssl on;
auth_basic "Restricted";
auth_basic_user_file htpasswd;
location / { proxy_pass https://127.0.0.1:8006; }
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
}
Cree un /etc/htpasswd
archivo usando el generador Htpasswd .
nano /etc/nginx/htpasswd
Reiniciar Nginx
service nginx restart
Ahora puede ver la consola de administración https://example.com
después de la autenticación básica.
Los contenedores ahora están disponibles mediante solicitudes HTTP y SSH. Ahora, podemos configurar el reenvío de puertos desde el servidor externo a los contenedores. Por ejemplo, para mapear example.com:8080
para 10.100.0.200:3000
ingresar lo siguiente.
iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.100.0.200:3000
Puede ver las reglas actuales.
`iptables -t nat -v -L PREROUTING -n --line-number`
También puede eliminar una regla por número con lo siguiente.
`iptables -t nat -D PREROUTING <#>`.
Ahora podemos acceder a un contenedor desde otro.
pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.250/24,gw=10.100.0.1
pct start 250
pct enter 250
ping 10.100.0.200
Si desea restringir el acceso desde el contenedor 250 a 200, debe conectar cada contenedor a un puente personal y deshabilitar el reenvío entre puentes.
Eliminar contenedores existentes.
pct stop 200
pct stop 250
pct destroy 200
pct destroy 250
Cambiar el contenido de /etc/network/interfaces
.
auto vmbr1
iface vmbr1 inet static
address 10.100.1.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
auto vmbr2
iface vmbr2 inet static
address 10.100.2.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
reboot
el sistema
Habilitar reenvío
`sysctl -w net.ipv4.ip_forward=1`
Para hacer que estos cambios sean permanentes, puede editar el /etc/sysctl.conf
archivo y encontrar el siguiente texto.
#net.ipv4.ip_forward=1
Descomentalo.
net.ipv4.ip_forward=1
También puede ejecutar sysctl -p
para que los cambios surtan efecto inmediatamente.
Crea contenedores.
pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.1.200/24,gw=10.100.1.1
pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr2,ip=10.100.2.250/24,gw=10.100.2.1
Comience los contenedores con pct start 200
y pct start 250
.
Limpiar las iptables
reglas.
iptables -F
Habilitar NAT.
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
vmbr0
es el puente que incluye la interfaz externa.
Permitir reenvío desde la interfaz externa.
iptables --append FORWARD --in-interface vmbr0 -j ACCEPT
Permitir reenvío desde los contenedores a internet.
iptables -A FORWARD -i vmbr1 -o vmbr0 -s 10.100.1.0/24 -j ACCEPT
iptables -A FORWARD -i vmbr2 -o vmbr0 -s 10.100.2.0/24 -j ACCEPT
Suelta el otro reenvío.
iptables -A FORWARD -i vmbr1 -j DROP
iptables -A FORWARD -i vmbr2 -j DROP
Ahora, compruebe que 10.100.1.200
puede hacer ping 8.8.8.8
pero no puede hacer ping 10.100.2.250
y que 10.100.2.250
puede hacer ping 8.8.8.8
pero no puede hacer ping 10.100.1.200
.
El orden de los comandos relacionados con iptables es importante. La mejor manera de operar sus reglas es usarlas iptables-persistent
. Este paquete le ayuda a guardar las reglas de iptables en los archivos /etc/iptables/rules.v4
y /etc/iptables/rules.v6
puede cargarlas automáticamente después de reiniciar el sistema. Simplemente instálelo con lo siguiente.
apt-get install iptables-persistent
Seleccione YES
cuando se le solicite.
¿Usando un sistema diferente? Docker es una aplicación que permite implementar programas que se ejecutan como contenedores. Fue escrito en el popular programa Go
Using a Different System? Introduction Sentry is an open source solution for error tracking. Sentry tracks exceptions and other useful messages fro
Descripción general RancherOS es un sistema operativo increíblemente liviano (solo unos 60 MB) que ejecuta un demonio Docker del sistema como PID 0 para ejecutar servicios del sistema
Este tutorial explica los conceptos básicos para comenzar a usar Docker. Supongo que ya tienes instalado Docker. Los pasos de este tutorial funcionarán en un
Al ejecutar una aplicación web, normalmente desea aprovechar al máximo sus recursos sin tener que convertir su software para usar subprocesos múltiples o
Todos conocemos y amamos Docker, una plataforma para crear, administrar y distribuir contenedores de aplicaciones en múltiples máquinas. Docker Inc. proporciona un servicio t
Introduction This guide will show you how to create and configure a Docker swarm using multiple Alpine Linux 3.9.0 servers and Portainer. Please be aware tha
Este artículo le mostrará cómo implementar su aplicación Node dentro de un contenedor Docker. Nota: Este tutorial asume que tienes Docker instalado y leído
Rancher OS es una distribución de Linux muy ligera construida alrededor de Docker. El sistema operativo en sí pesa alrededor de 20 MB. Este tutorial lo pondrá en funcionamiento con
Overview This article is meant to help you get a Kubernetes cluster up and running with kubeadm in no time. This guide will be deploying two servers, on
Este artículo explica cómo instalar docker-compose en CoreOS. En CoreOS, la carpeta / usr / es inmutable, por lo que la ruta estándar / usr / local / bin no está disponible para
Harbor es un servidor de registro de clase empresarial de código abierto que almacena y distribuye imágenes de Docker. Harbor extiende el código abierto Docker Distribution b
Introduction Docker is an application that allows us to deploy programs that are run as containers. It was written in the popular Go programming language
Requisitos previos Docker engine 1.8+. Mínimo de 4 GB de espacio en disco. Mínimo de 4 GB de RAM. Paso 1. Instalar Docker Para instalar SQL-Server, Docker mus
Kubernetes es una plataforma de código abierto desarrollada por Google para administrar aplicaciones en contenedores en un grupo de servidores. Se basa en una década y
Las aplicaciones PHP generalmente están compuestas por un servidor web, un sistema de base de datos relacional y el propio intérprete de idiomas. En este tutorial estaremos apalancando
¿Usando un sistema diferente? Introducción Rancher es una plataforma de código abierto para ejecutar contenedores y crear un servicio de contenedor privado. Ranchero es base
Using a Different System? Introduction Docker Swarm turns your individual servers into a cluster of computers; facilitating scaling, high-availability an
La tecnología de contenedores Docker le permite ejecutar aplicaciones en un entorno específico y aislado. Docker Community Edition (CE) es el nuevo nombre para el fre
¿Usando un sistema diferente? Introducción Docker es una aplicación que permite la implementación de software en contenedores virtuales. Fue escrito en el G
Los ataques de ransomware van en aumento, pero ¿puede la IA ayudar a lidiar con el último virus informático? ¿Es la IA la respuesta? Lea aquí, sepa que la IA es una bendición o una perdición
ReactOS, un sistema operativo de código abierto y gratuito, está aquí con la última versión. ¿Puede satisfacer las necesidades de los usuarios de Windows de hoy en día y acabar con Microsoft? Averigüemos más sobre este estilo antiguo, pero una experiencia de sistema operativo más nueva.
Whatsapp finalmente lanzó la aplicación de escritorio para usuarios de Mac y Windows. Ahora puede acceder a Whatsapp desde Windows o Mac fácilmente. Disponible para Windows 8+ y Mac OS 10.9+
Lea esto para saber cómo la Inteligencia Artificial se está volviendo popular entre las empresas de pequeña escala y cómo está aumentando las probabilidades de hacerlas crecer y dar ventaja a sus competidores.
Recientemente, Apple lanzó macOS Catalina 10.15.4, una actualización complementaria para solucionar problemas, pero parece que la actualización está causando más problemas que conducen al bloqueo de las máquinas Mac. Lee este artículo para obtener más información
13 Herramientas comerciales de extracción de datos de Big Data
Nuestra computadora almacena todos los datos de una manera organizada conocida como sistema de archivos de diario. Es un método eficiente que permite a la computadora buscar y mostrar archivos tan pronto como presiona buscar.
A medida que la ciencia evoluciona a un ritmo rápido, asumiendo muchos de nuestros esfuerzos, también aumentan los riesgos de someternos a una singularidad inexplicable. Lea, lo que la singularidad podría significar para nosotros.
Una mirada a 26 técnicas analíticas de Big Data: Parte 1
La IA en la salud ha dado grandes pasos desde las últimas décadas. Por tanto, el futuro de la IA en el sector sanitario sigue creciendo día a día.