Sticky Session With Docker Swarm (CE) op CentOS 7

• Invoering
• Vereisten
• Wie ben ik
• Traefik opzetten
• Hoe het werkt

Invoering

Docker Swarm verandert uw individuele servers in een cluster van computers, wat schaalbaarheid, hoge beschikbaarheid en taakverdeling mogelijk maakt. De Swarm load-balancer implementeert een round-robin load-balancing-strategie en dit kan de correcte werking van (legacy) stateful applicaties die een vorm van plakkerige sessies vereisen, nodig hebben om een ​​hoge beschikbaarheid setup met meerdere instanties mogelijk te maken. Docker Enterprise Edition ondersteunt Layer-7 kleverige sessie, maar in deze handleiding zullen we ons concentreren op de gratis (CE) versie van Docker. Om plakkerige sessies te implementeren, gebruiken we Traefik.

Vereisten

• Ten minste twee pas geïmplementeerde en bijgewerkte CentOS 7-instanties in hetzelfde subnet met privénetwerken ingeschakeld
• Docker CE is geïnstalleerd op deze instanties
• De instanties moeten deel uitmaken van dezelfde Swarm en moeten via het particuliere netwerk met elkaar kunnen communiceren
• Voorkennis van Docker en Docker Swarm
• Een niet-admin-gebruiker met sudo-rechten (optioneel, maar het wordt sterk aangeraden om de root-gebruiker niet te gebruiken)

In deze zelfstudie gebruiken we twee Vultr-instanties met privé-IP-adressen 192.168.0.100 en 192.168.0.101, beide zijn Docker Swarm-beheerknooppunten (wat niet ideaal is voor productie maar voldoende voor deze zelfstudie).

Wie ben ik

Deze tutorial gebruikt de jwilder/whoamidocker-afbeelding als demotoepassing. Deze eenvoudige container reageert op een REST-aanroep met de naam van de reagerende container, waardoor het heel gemakkelijk is om te testen of de kleverige sessies werken. Deze afbeelding wordt alleen gebruikt voor demodoeleinden en moet worden vervangen door de afbeelding van uw eigen applicatie. De whoami-serviceis als volgt geconfigureerd:

sudo docker network create whoaminet -d overlay
sudo docker service create --name whoami-service --mode global --network whoaminet --publish "80:8000" jwilder/whoami
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload

Als we vervolgens curlhet whoamiREST-eindpunt http://192.168.0.100/zouden zien, kunnen we de round-robin load-balancing van Docker Swarm aan het werk zien.

curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3

Het heeft geen zin om dit te testen met moderne browsers zoals Chrome of Firefox omdat ze zijn ontworpen om verbindingen levend (open) te houden en de Docker Swarm-load-balancer pas bij elke nieuwe verbinding naar de andere container overschakelt . Als u dit met een browser wilt testen, moet u ten minste 30 seconden wachten voordat de verbinding wordt verbroken voordat u de pagina opnieuw ververst.

Traefik opzetten

Traefik ondersteunt native Docker Swarm, het kan containers on-the-fly detecteren en registreren of uitschrijven en het communiceert met uw applicatie via het interne overlay-netwerk. Traefik heeft wat informatie over uw aanvraag nodig voordat het aanvragen kan verwerken. Deze informatie wordt aan Traefik verstrekt door labels toe te voegen aan uw Swarm-service.

sudo docker service update --label-add "traefik.docker.network=whoaminet" --label-add "traefik.port=8000" --label-add "traefik.frontend.rule=PathPrefix:/" --label-add "traefik.backend.loadbalancer.stickiness=true" whoami-service

De onderstaande lijst beschrijft wat elk label betekent:

• traefik.docker.network: Het Docker-overlay-netwerk waarover Traefik met uw service zal communiceren
• traefik.port: De poort waarop uw service luistert (dit is de intern blootgestelde poort, niet de gepubliceerde poort)
• traefik.frontend.rule: PathPrefix:/bindt de context root /aan deze service.
• traefik.backend.loadbalancer.stickiness: Maakt sticky-sessies mogelijk voor deze service

Nu het whoami-serviceis geconfigureerd met de vereiste labels, kunnen we de Traefik-service aan de zwerm toevoegen:

sudo docker service create --name traefik -p8080:80 -p9090:8080 --mount type=bind,source=/var/run/docker.sock,destination=/var/run/docker.sock --mode=global --constraint 'node.role == manager' --network whoaminet traefik --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG

Deze opdracht doet nogal wat dingen tegelijk. De onderstaande lijst zal meer in detail uitleggen:

• --name traefik: De naam van onze nieuwe Docker-service is traefik
• -p8080:80: We publiceren de poort 80naar poort van Traefik 8080(poort 80wordt al gebruikt door onze whoami-service)
• -p9090:8080: We publiceren Traefik's eigen webinterface naar poort 9090
• --mount ...: We monteren de Docker Socket in de container zodat Traefik toegang heeft tot de Docker-runtime van de host
• --global: We willen Traefik-containers op elk manager-knooppunt om redenen van hoge beschikbaarheid
• --constraint 'node.role == manager': We willen alleen dat Traefik op manager-nodes draait omdat worker-nodes Traefik niet de informatie kunnen geven die het nodig heeft. Bijvoorbeeld, docker service lseen werknemer knooppunt niet werkt, dus Traefik zou niet eens in staat om te ontdekken welke services worden uitgevoerd
• --network whoaminet: Verbindt Traefik met hetzelfde netwerk als het onze whoami-service, anders kunnen ze geen verbinding maken. We hebben Traefik eerder gezegd om via dit netwerk met het traefik.docker.networklabel verbinding te maken met onze service
• traefik: Vertel docker om de nieuwste Traefik-docker-image te gebruiken voor deze service
• --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG: Opdrachtregelargumenten worden rechtstreeks aan Traefik doorgegeven om het in de zwermmodus Docker uit te voeren ( --loglevel=DEBUGis hier optioneel maar interessant tijdens de installatie en voor deze zelfstudie)

Het enige dat u hoeft te doen, is de benodigde poorten in de CentOS-firewall openen:

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --zone=public --add-port=9090/tcp --permanent
sudo firewall-cmd --reload

Hoe het werkt

Zodra Traefik opstart, kun je in de logs zien dat Traefik de twee whoamicontainers ontdekt . Het voert ook de cookienaam uit die het zal gebruiken om de kleverige sessie af te handelen:

time="2018-11-25T13:17:30Z" level=debug msg="Configuration received from provider docker: {\"backends\":{\"backend-whoami-service\":{\"servers\":{\"server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05\":{\"url\":\"http://10.0.0.5:8000\",\"weight\":1},\"server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6\":{\"url\":\"http://10.0.0.4:8000\",\"weight\":1}},\"loadBalancer\":{\"method\":\"wrr\",\"stickiness\":{}}}},\"frontends\":{\"frontend-PathPrefix-0\":{\"entryPoints\":[\"http\"],\"backend\":\"backend-whoami-service\",\"routes\":{\"route-frontend-PathPrefix-0\":{\"rule\":\"PathPrefix:/\"}},\"passHostHeader\":true,\"priority\":0,\"basicAuth\":null}}}"
time="2018-11-25T13:17:30Z" level=debug msg="Wiring frontend frontend-PathPrefix-0 to entryPoint http"
time="2018-11-25T13:17:30Z" level=debug msg="Creating backend backend-whoami-service"
time="2018-11-25T13:17:30Z" level=debug msg="Adding TLSClientHeaders middleware for frontend frontend-PathPrefix-0"
time="2018-11-25T13:17:30Z" level=debug msg="Creating load-balancer wrr"
time="2018-11-25T13:17:30Z" level=debug msg="Sticky session with cookie _a49bc"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05 at http://10.0.0.5:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6 at http://10.0.0.4:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating route route-frontend-PathPrefix-0 PathPrefix:/"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :80"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :8080"

Als we omkrullen, kunnen http://192.168.0.100:8080we zien dat er een nieuwe cookie _a49bcis geplaatst:

curl -v http://192.168.0.100:8080
* About to connect() to 192.168.0.100 port 8080 (#0)
*   Trying 192.168.0.100...
* Connected to 192.168.0.100 (192.168.0.100) port 8080 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.0.100:8080
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Length: 17
< Content-Type: text/plain; charset=utf-8
< Date: Sun, 25 Nov 2018 13:18:40 GMT
< Set-Cookie: _a49bc=http://10.0.0.5:8000; Path=/
<
I'm a6a8c9294fc3
* Connection #0 to host 192.168.0.100 left intact

Als we bij volgende oproepen deze cookie naar Traefik sturen, worden we altijd doorgestuurd naar dezelfde container:

curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3

De cookie bevat niets anders dan het interne (overlay) IP-adres van de container waarnaar Traefik moet sturen om op te vragen. Als u de cookiewaarde wijzigt in, http://10.0.0.4:8000wordt het verzoek effectief doorgestuurd naar de andere container. Als de cookie nooit opnieuw zou worden verzonden naar Traefik, zal de kleverige sessie niet werken en zullen de verzoeken worden uitgebalanceerd tussen de containers van de applicatie en de Traefik-containers.

Dat is alles wat nodig is om Layer 7 Sticky Sessions in Docker CE op CentOS 7 in te stellen.