Sticky Session With Docker Swarm (CE) op Debian 9

• Invoering
• Vereisten
• Wie ben ik
• Traefik opzetten
• Hoe het werkt

Invoering

Docker Swarm verandert uw individuele servers in een cluster van computers; het faciliteren van schaalbaarheid, hoge beschikbaarheid en taakverdeling. De Swarm load-balancer implementeert een round-robin load-balancing-strategie, en dit kan de correcte werking van (legacy) stateful applicaties die een vorm van plakkerige sessies vereisen, verstoren om een ​​hoog beschikbare setup met meerdere instanties mogelijk te maken. Docker Enterprise Edition ondersteunt Layer-7 kleverige sessie, maar in deze handleiding zullen we ons concentreren op de gratis (CE) versie van Docker. Om plakkerige sessies te implementeren, gebruiken we Traefik.

Vereisten

• Ten minste twee vers geïmplementeerde en bijgewerkte Debian 9-instanties in hetzelfde subnet met privénetwerken ingeschakeld
• Docker CE is geïnstalleerd op deze instanties
• De instanties moeten deel uitmaken van dezelfde Swarm en moeten via het particuliere netwerk met elkaar kunnen communiceren
• Voorkennis van Docker en Docker Swarm
• Een niet-rootgebruiker met sudorechten (optioneel, maar het wordt sterk aangeraden om de rootgebruiker niet te gebruiken)

In deze tutorial gebruiken we twee Vultr-instanties met privé IP-adressen 192.168.0.100en 192.168.0.101. Beiden zijn Docker Swarm-manager-nodes (wat niet ideaal is voor productie maar voldoende voor deze tutorial).

Wie ben ik

In deze zelfstudie wordt de jwilder/whoamidocker-afbeelding gebruikt als demotoepassing. Deze eenvoudige container reageert op een REST-aanroep met de naam van de reagerende container, waardoor het heel gemakkelijk is om te testen of de kleverige sessies werken. Deze afbeelding wordt uiteraard alleen gebruikt voor demodoeleinden en moet worden vervangen door de afbeelding van uw eigen applicatie.

De whoami-service is als volgt geconfigureerd:

sudo docker network create whoaminet -d overlay
sudo docker service create --name whoami-service --mode global --network whoaminet --publish "80:8000"  jwilder/whoami
sudo iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT

Als we vervolgens curlhet whoami REST-eindpunt zien http://192.168.0.100/, kunnen we de round-robin load-balancing van Docker Swarm aan het werk zien:

curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3

Het heeft geen zin om dit te testen met moderne browsers zoals Chrome of Firefox, omdat ze zijn ontworpen om verbindingen levend te houden, en de Docker Swarm-load-balancer schakelt bij elke nieuwe verbinding alleen over naar de andere container . Als u dit met een browser wilt testen, moet u ten minste 30 seconden wachten voordat de verbinding wordt verbroken voordat u de pagina opnieuw ververst.

Traefik opzetten

Traefik ondersteunt native Docker Swarm, het kan containers on-the-fly detecteren en registreren of uitschrijven en het communiceert met uw applicatie via het interne overlay-netwerk. Traefik heeft wat informatie over uw aanvraag nodig voordat het aanvragen kan verwerken. Deze informatie wordt aan Traefik verstrekt door labels toe te voegen aan uw Swarm-service:

sudo docker service update --label-add "traefik.docker.network=whoaminet" --label-add "traefik.port=8000" --label-add "traefik.frontend.rule=PathPrefix:/" --label-add "traefik.backend.loadbalancer.stickiness=true" whoami-service

De volgende lijst beschrijft wat elk label betekent:

• traefik.docker.network : Het Docker-overlay-netwerk waarover Traefik met uw service zal communiceren
• traefik.port : De poort waarop uw service luistert (dit is de intern blootgestelde poort, niet de gepubliceerde poort)
• traefik.frontend.rule: PathPrefix:/ bindt de context root ' /' aan deze service
• traefik.backend.loadbalancer.stickiness : Maakt sticky-sessies mogelijk voor deze service

Nu het whoami-serviceis geconfigureerd met de vereiste labels, kunnen we de Traefik-service aan de zwerm toevoegen:

sudo docker service create --name traefik -p8080:80 -p9090:8080 --mount type=bind,source=/var/run/docker.sock,destination=/var/run/docker.sock --mode=global --constraint 'node.role == manager' --network whoaminet traefik --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG

Deze opdracht doet heel veel dingen tegelijk, zoals wordt weergegeven in de volgende lijst:

• --name traefik : De naam van onze nieuwe Docker-service is Traefik
• -p8080:80: We publiceren de poort 80naar poort van Traefik 8080omdat de poort 80al in gebruik is door onze whoami-service
• -p9090:8080 : We publiceren Traefik's eigen webinterface naar poort 9090
• --mount ... : We monteren de Docker Socket in de container zodat Traefik toegang heeft tot de Docker-runtime van de host
• --global : We willen Traefik-containers op elk manager-knooppunt om redenen van hoge beschikbaarheid
• --constraint 'node.role == manager': We willen alleen dat Traefik op manager-nodes draait omdat worker-nodes Traefik niet de informatie kunnen geven die het nodig heeft. Bijvoorbeeld, docker service lseen werknemer knooppunt niet werkt, dus Traefik zou niet eens in staat om te ontdekken welke services worden uitgevoerd
• --network whoaminet: Verbind Traefik met hetzelfde netwerk als het onze whoami-service, anders kan het er geen verbinding mee maken. We hebben Traefik eerder gezegd om via dit netwerk met het traefik.docker.networklabel verbinding te maken met onze service
• traefik : Vertel docker om de nieuwste Traefik-docker-image te gebruiken voor deze service
• --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG: Opdrachtregelargumenten worden rechtstreeks aan Traefik doorgegeven zodat het in de zwermmodus Docker kan worden uitgevoerd. DEBUGis hier optioneel, maar interessant tijdens de installatie en voor deze zelfstudie

Het enige dat u hoeft te doen, is de nodige poorten in de Debian-firewall openen:

sudo iptables -I INPUT 1 -p tcp --dport 8080 -j ACCEPT
sudo iptables -I INPUT 1 -p tcp --dport 9090 -j ACCEPT

Hoe het werkt

Zodra Traefik opstart, kun je in de logs zien dat Traefik de twee whoamicontainers ontdekt . Het voert ook de cookienaam uit die het zal gebruiken om de kleverige sessie af te handelen:

time="2018-11-25T13:17:30Z" level=debug msg="Configuration received from provider docker: {\"backends\":{\"backend-whoami-service\":{\"servers\":{\"server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05\":{\"url\":\"http://10.0.0.5:8000\",\"weight\":1},\"server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6\":{\"url\":\"http://10.0.0.4:8000\",\"weight\":1}},\"loadBalancer\":{\"method\":\"wrr\",\"stickiness\":{}}}},\"frontends\":{\"frontend-PathPrefix-0\":{\"entryPoints\":[\"http\"],\"backend\":\"backend-whoami-service\",\"routes\":{\"route-frontend-PathPrefix-0\":{\"rule\":\"PathPrefix:/\"}},\"passHostHeader\":true,\"priority\":0,\"basicAuth\":null}}}"
time="2018-11-25T13:17:30Z" level=debug msg="Wiring frontend frontend-PathPrefix-0 to entryPoint http"
time="2018-11-25T13:17:30Z" level=debug msg="Creating backend backend-whoami-service"
time="2018-11-25T13:17:30Z" level=debug msg="Adding TLSClientHeaders middleware for frontend frontend-PathPrefix-0"
time="2018-11-25T13:17:30Z" level=debug msg="Creating load-balancer wrr"
time="2018-11-25T13:17:30Z" level=debug msg="Sticky session with cookie _a49bc"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05 at http://10.0.0.5:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6 at http://10.0.0.4:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating route route-frontend-PathPrefix-0 PathPrefix:/"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :80"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :8080"

Als we omkrullen, kunnen http://192.168.0.100:8080we zien dat er een nieuwe cookie _a49bcis ingesteld:

curl -v http://192.168.0.100:8080
* About to connect() to 192.168.0.100 port 8080 (#0)
*   Trying 192.168.0.100...
* Connected to 192.168.0.100 (192.168.0.100) port 8080 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.0.100:8080
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Length: 17
< Content-Type: text/plain; charset=utf-8
< Date: Sun, 25 Nov 2018 13:18:40 GMT
< Set-Cookie: _a49bc=http://10.0.0.5:8000; Path=/
<
I'm a6a8c9294fc3
* Connection #0 to host 192.168.0.100 left intact

Als we bij volgende oproepen deze cookie naar Traefik sturen, worden we altijd doorgestuurd naar dezelfde container:

curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3

De cookie bevat niets anders dan het interne IP-adres van de container waarnaar Traefik moet sturen om op te vragen. Als u de cookiewaarde wijzigt in http://10.0.0.4:8000, wordt het verzoek effectief doorgestuurd naar de andere container. Als de cookie nooit opnieuw zou worden verzonden naar Traefik, zal de kleverige sessie niet werken en zullen de verzoeken worden uitgebalanceerd tussen de containers van de applicatie en de Traefik-containers.

Dat is alles wat nodig is om Layer 7 Sticky Sessions in Docker CE op Debian 9 in te stellen.