CentOS 7でのDocker Swarm（CE）によるスティッキーセッション

• 前書き
• 前提条件
• 私は誰
• Traefikのセットアップ
• 使い方

前書き

Docker Swarmは個々のサーバーをコンピューターのクラスターに変え、スケーリング、高可用性、負荷分散を容易にします。Swarmロードバランサーはラウンドロビンのロードバランシング戦略を実装します。これは、複数のインスタンスで高可用性設定を可能にするために何らかの形式のスティッキーセッションを必要とする（レガシー）ステートフルアプリケーションの正しい機能を妨げる可能性があります。Docker Enterprise EditionはLayer-7スティッキーセッションをサポートしますが、このガイドでは、Dockerの無料（CE）バージョンに焦点を当てます。スティッキーセッションを実装するには、Traefikを使用します。

前提条件

• プライベートネットワーキングが有効になっている同じサブネット内に、新しく導入および更新された少なくとも2つのCentOS 7インスタンス
• これらのインスタンスにインストールされているDocker CE
• インスタンスは同じSwarmの一部であり、プライベートネットワークを介して相互に通信できる必要があります
• DockerおよびDocker Swarmに関する予備知識
• sudo権限を持つ管理者以外のユーザー（オプションですが、rootユーザーを使用しない��とを強くお勧めします）

このチュートリアルでは、プライベートIPアドレス192.168.0.100と192.168.0.101の2つのVultrインスタンスを使用します。どちらもDocker Swarmマネージャーノードです（これは本番環境には理想的ではありませんが、このチュートリアルには十分です）。

私は誰

このチュートリアルでは、jwilder/whoamiDockerイメージをデモアプリケーションとして使用します。この単純なコンテナーは、応答するコンテナーの名前でREST呼び出しに応答するため、スティッキーセッションが機能しているかどうかを非常に簡単にテストできます。この画像はデモ目的でのみ使用され、独自のアプリケーションの画像で置き換える必要があります。whoami-service次のように構成されています。

sudo docker network create whoaminet -d overlay
sudo docker service create --name whoami-service --mode global --network whoaminet --publish "80:8000" jwilder/whoami
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload

私たちは、その後ならばRESTエンドポイントで、我々は仕事でドッカースウォームのラウンドロビンロードバランシングを見ることができます。curlwhoamihttp://192.168.0.100/

curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3

ChromeやFirefoxなどの最新のブラウザーで接続を維持するように設計されており（オープン）、Docker Swarmロードバランサーは新しい接続ごとに他のコンテナーに切り替えるだけなので、これをテストする意味はありません。これをブラウザでテストする場合は、接続が閉じるまで少なくとも30秒待ってから、再度更新する必要があります。

Traefikのセットアップ

TraefikはDocker Swarmをネイティブでサポートし、オンザフライでコンテナーを検出して登録または登録解除でき、内部オーバーレイネットワーク経由でアプリケーションと通信します。Traefikは、アプリケーションの要求の処理を開始する前に、アプリケーションに関するいくつかの情報を必要とします。この情報は、Swarmサービスにラベルを追加することによってTraefikに提供されます。

sudo docker service update --label-add "traefik.docker.network=whoaminet" --label-add "traefik.port=8000" --label-add "traefik.frontend.rule=PathPrefix:/" --label-add "traefik.backend.loadbalancer.stickiness=true" whoami-service

以下のリストは、各ラベルの意味を説明しています。

• traefik.docker.network：Traefikがサービスと通信するDockerオーバーレイネットワーク
• traefik.port：サービスがリッスンしているポート（これは、公開されたポートではなく、内部的に公開されたポートです）
• traefik.frontend.rule：PathPrefix:/コンテキストルート/をこのサービスにバインドします。
• traefik.backend.loadbalancer.stickiness：このサービスのスティッキーセッションを有効にします

にwhoami-service必要なラベルが設定されたので、Traefikサービスをスウォームに追加できます。

sudo docker service create --name traefik -p8080:80 -p9090:8080 --mount type=bind,source=/var/run/docker.sock,destination=/var/run/docker.sock --mode=global --constraint 'node.role == manager' --network whoaminet traefik --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG

このコマンドは一度にかなり多くのことを行います。以下のリストで詳しく説明します。

• --name traefik：新しいDockerサービスの名前は traefik
• -p8080:80：Traefikのポート80をポートごとに公開します8080（ポート80は既に使用されていますwhoami-service）
• -p9090:8080：Traefik独自のWebインターフェースを移植して公開 9090
• --mount ...：Dockerソケットをコンテナーにマウントして、TraefikがホストのDockerランタイムにアクセスできるようにします
• --global：高可用性の理由から、各マネージャーノードにTraefikコンテナーが必要です
• --constraint 'node.role == manager'：ワーカーノードはTraefikに必要な情報を提供できないため、マネージャーノードでのみTraefikを実行する必要があります。たとえばdocker service ls、ワーカーノードでは機能しないため、Traefikは実行されているサービスを検出することもできません。
• --network whoaminet：Traefikをと同じネットワークにwhoami-service接続します。それ以外の場合は接続できません。以前、Traefikにこのネットワークを介してこのtraefik.docker.networkラベルでサービスに接続するように指示しました
• traefik：このサービスに最新のTraefik Dockerイメージを使用するようdockerに指示する
• --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG：コマンドライン引数がTraefikに直接渡され、Docker Swarmモードで実行できるようにします（--loglevel=DEBUGここではオプションですが、セットアップ中およびこのチュートリアルでは興味深いです）

あとは、CentOSファイアウォールで必要なポートを開くだけです。

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --zone=public --add-port=9090/tcp --permanent
sudo firewall-cmd --reload

使い方

Traefikが起動するとすぐに、Traefikが2つのwhoamiコンテナーを検出したことをログで確認できます。また、スティッキーセッションを処理するために使用するCookie名を出力しています。

time="2018-11-25T13:17:30Z" level=debug msg="Configuration received from provider docker: {\"backends\":{\"backend-whoami-service\":{\"servers\":{\"server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05\":{\"url\":\"http://10.0.0.5:8000\",\"weight\":1},\"server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6\":{\"url\":\"http://10.0.0.4:8000\",\"weight\":1}},\"loadBalancer\":{\"method\":\"wrr\",\"stickiness\":{}}}},\"frontends\":{\"frontend-PathPrefix-0\":{\"entryPoints\":[\"http\"],\"backend\":\"backend-whoami-service\",\"routes\":{\"route-frontend-PathPrefix-0\":{\"rule\":\"PathPrefix:/\"}},\"passHostHeader\":true,\"priority\":0,\"basicAuth\":null}}}"
time="2018-11-25T13:17:30Z" level=debug msg="Wiring frontend frontend-PathPrefix-0 to entryPoint http"
time="2018-11-25T13:17:30Z" level=debug msg="Creating backend backend-whoami-service"
time="2018-11-25T13:17:30Z" level=debug msg="Adding TLSClientHeaders middleware for frontend frontend-PathPrefix-0"
time="2018-11-25T13:17:30Z" level=debug msg="Creating load-balancer wrr"
time="2018-11-25T13:17:30Z" level=debug msg="Sticky session with cookie _a49bc"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05 at http://10.0.0.5:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6 at http://10.0.0.4:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating route route-frontend-PathPrefix-0 PathPrefix:/"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :80"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :8080"

カールするhttp://192.168.0.100:8080と、新しいCookie _a49bcが設定されていることがわかります。

curl -v http://192.168.0.100:8080
* About to connect() to 192.168.0.100 port 8080 (#0)
*   Trying 192.168.0.100...
* Connected to 192.168.0.100 (192.168.0.100) port 8080 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.0.100:8080
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Length: 17
< Content-Type: text/plain; charset=utf-8
< Date: Sun, 25 Nov 2018 13:18:40 GMT
< Set-Cookie: _a49bc=http://10.0.0.5:8000; Path=/
<
I'm a6a8c9294fc3
* Connection #0 to host 192.168.0.100 left intact

以降の呼び出しで、このCookieをTraefikに送信すると、常に同じコンテナに転送されます。

curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3

Cookieには、Traefikが要求を送信する必要があるコンテナーの内部（オーバーレイ）IPアドレスしか含まれていません。cookieの値をに変更するとhttp://10.0.0.4:8000、リクエストは他のコンテナに効率的に転送されます。CookieがTraefikに再送信されない場合、スティッキーセッションは機能せず、リクエストはアプリケーションのコンテナーとTraefikコンテナーの間で分散されます。

CentOS 7上のDocker CEでレイヤー7スティッキーセッションをセットアップするために必要なのはこれだけです。