Создайте Docker Swarm в Alpine Linux 3.9.0

• Вступление
• Предпосылки
• развертывание
• Установите Alpine Linux 3.9.0 на серверах
• Конфигурация сервера после установки
• Установите Docker на своих серверах
• Инициализируйте рой Docker с одним управляющим узлом и одним рабочим узлом
• Разверните Portainer с SSL для управления вашим роем Docker

Вступление

Это руководство покажет вам, как создать и настроить рой Docker с использованием нескольких серверов Alpine Linux 3.9.0 и Portainer. Помните, что Vultr предлагает приложение Docker One-Click, которое в настоящее время поддерживает CentOS 7 x64 и Ubuntu 16.04 x64.

Предпосылки

Для начала вам понадобится как минимум два сервера VC2 под управлением Alpine Linux 3.9.0. В вашем рое Docker один из этих серверов будет действовать как manager node- интерфейс с внешними сетями и делегировать задания рабочим узлам. Затем другой сервер будет действовать как worker nodeвыполняющий задания, делегированные ему управляющим узлом.

Обратите внимание, что вы можете запустить более двух серверов, если ваше приложение требует избыточности и / или большей вычислительной мощности, и шаги, описанные в этом руководстве, будут по-прежнему применяться.

развертывание

Посетите интерфейс развертывания сервера Vultr .

Убедитесь, что Vultr Cloud (VC2)вкладка выбрана в верхней части страницы.

Вы можете выбрать любое место в Server Locationразделе, однако все серверы должны находиться в одном месте , иначе будет невозможно развернуть на них рой Docker.

Выберите ISO Libraryвкладку Server Typeраздела и выберите Alpine Linux 3.9.0 x86_64изображение.

Выберите подходящий вариант из Server Sizeраздела. В этом руководстве будет использоваться сервер SSD емкостью 25 ГБ, но этого может быть недостаточно для удовлетворения потребностей вашего приложения в ресурсах. Хотя Vultr упрощает обновление размера сервера после того, как он уже был запущен, вы все равно должны тщательно продумать, какой размер сервера требуется вашему приложению для оптимальной работы.

В Additional Featuresразделе необходимо выбрать Enable Private Networkingопцию. В то время как другие опции не обязательны для выполнения этого руководства, вам следует подумать, имеет ли каждый из них смысл в контексте вашего приложения.

Если вы ранее включили эту Multiple Private Networksопцию в своей учетной записи, вам нужно будет либо выбрать существующую, либо создать новую частную сеть для своих серверов. Если вы не включили его, то можете игнорировать этот раздел. Информацию о ручной настройке частных сетей смотрите в этом руководстве .

Пропустить Firewall Groupраздел сейчас. Только сервер, выступающий в качестве узла-менеджера в рое Docker, будет нуждаться в открытых портах, и это следует настроить после развертывания сервера.

В самом низу страницы необходимо ввести Server Qtyкак минимум два. Как упоминалось ранее, вам может потребоваться более двух серверов, но для выполнения этого руководства достаточно двух.

Наконец, в Server Hostname & Labelразделе введите значимые и запоминающиеся имена хостов и метки для каждого сервера. Для целей настоящего ��уководства, имя хоста и метка первого сервера будет docker-managerи Docker Manager, respectively- и docker-workerи Docker Workerдля второго, соответственно.

После двойной проверки всех ваших настроек вы можете нажать Deploy Nowкнопку внизу страницы, чтобы запустить ваши серверы.

Установите Alpine Linux 3.9.0 на серверах

Поскольку вы выбрали ОС из библиотеки ISO Vultr, вам необходимо вручную установить и настроить Alpine Linux 3.9.0 на каждом сервере.

После того, как вы предоставите Vultr одну или две минуты для выделения серверов, щелкните значок тройной точки more optionsдля Docker Managerсервера в интерфейсе управления сервером и выберите нужный View Consoleвариант.

Вы должны быть перенаправлены на консоль с приглашением войти в систему. Если нет, пожалуйста, подождите еще минуту, чтобы Vultr завершил развертывание ваших серверов.

В ответ на приглашение введите rootимя пользователя. В действующей версии Alpine Linux 3.9.0 (которая сейчас используется на ваших серверах) не требуется, чтобы суперпользователь вводил пароль при входе в систему.

После успешного входа в учетную запись root вы увидите приветственное сообщение с приглашением оболочки, которое выглядит следующим образом:

localhost:~# 

Чтобы запустить установщик Alpine Linux, введите следующую команду:

# setup-alpine

Сначала выберите соответствующую раскладку клавиатуры. В этом руководстве будут использованы usмакет и вариант.

При настройке имени хоста выберите то же имя хоста, которое вы указали для этого сервера во время развертывания. Если вы точно следовали этому руководству, имя хоста должно быть docker-manager.

Должны быть доступны два сетевых интерфейса: eth0и eth1. Если вы видите только это eth0, это означает, что вы неправильно настроили частную сеть своих серверов. Инициализируйте, eth0используя dhcp, и инициализируйте, eth1используя частный IP-адрес, маску сети и шлюз, которым этот сервер был назначен во время развертывания. Вы можете получить доступ к этим данным из интерфейса настроек вашего сервера. При появлении запроса не выполняйте никакой ручной настройки сети.

Введите новый пароль для учетной записи root, а затем выберите часовой пояс, соответствующий местоположению, в котором вы выбрали развертывание этих серверов.

Если вы намереваетесь использовать прокси-сервер HTTP / FTP, введите его URL, в противном случае не устанавливайте URL прокси.

Выберите клиента NTP для управления синхронизацией системных часов. Это руководство будет использовать busybox.

Когда появится запрос на использование зеркала хранилища пакетов, либо выберите одно из них, введя его номер; автоматически определить и выбрать самый быстрый, введя f; или вручную отредактируйте файл конфигурации репозитория, введя его e, что не рекомендуется, если вы не знакомы с Alpine Linux. В этом руководстве будет использовано первое зеркало.

Если вы планируете использовать SSH для доступа к своим серверам или для размещения файловой системы на основе SSH, выберите SSH-сервер для использования. Это руководство будет использовать openssh.

При запросе диска к использованию, выбрать диск в vdaкачестве sysтипа.

Alpine Linux 3.9.0 теперь должен быть установлен на вашем сервере. Повторите этот процесс для всех других серверов, которые вы развернули ранее, гарантируя, что вы подставите правильные значения для имени хоста и eth1сетевого интерфейса.

Конфигурация сервера после установки

На этом этапе на ваших серверах по-прежнему работает живая ISO-версия Alpine Linux 3.9.0. Для загрузки с установки SSD зайдите в интерфейс настроек вашего сервера, перейдите к пункту Custom ISOбокового меню и нажмите Remove ISOкнопку. Это должно перезагрузить сервер. Если это не так, то перезагрузите вручную.

После завершения перезагрузки сервера вернитесь к веб-консоли сервера Docker Manager.

Войдите в учетную запись root, используя пароль, который вы установили ранее в процессе установки.

Включите репозиторий пакетов сообщества, раскомментировав третью строку /etc/apk/repositoriesиспользования vi. Вы можете включить ребро и тестировать репозитории аналогичным образом, но они не обязаны следовать этому руководству.

Синхронизируйте локальный индекс пакета сервера с удаленным репозиторием, который вы выбрали ранее, введя следующую команду оболочки:

# apk update

Затем обновите устаревшие пакеты:

# apk upgrade

Как и прежде, повторите этот процесс настройки для каждого сервера, который вы развернули ранее.

Установите Docker на своих серверах

Перед установкой самого пакета Docker вы можете создать отдельного dockerпользователя. Вы можете сделать это с помощью следующей команды:

# adduser docker

Примечание. Этот новый пользователь и все пользователи, добавленные в новую dockerгруппу, будут иметь привилегии root после установки пакета Docker. Смотрите следующую проблему из хранилища Moby Github:

Из-за --privilegedin docker любой, кто добавлен в группу 'docker', является корневым эквивалентом. Любой из группы докеров имеет заднюю дверь вокруг всей политики повышения привилегий и аудита в системе.

Это отличается от того, что кто-то может запускать sudo для root, где у него есть политика и аудит, примененный к ним.

Если вы хотите дать пользователю разрешение sudo docker, сначала установите sudoпакет:

# apk add sudo

Затем создайте sudoгруппу:

# addgroup sudo

Наконец, добавьте dockerпользователя в sudoгруппу:

# adduser docker sudo

Теперь вы можете выполнить шаг 4 этого руководства, чтобы завершить настройку sudo.

Теперь вы готовы установить пакет Docker. Обратите внимание, что не обязательно иметь отдельного dockerпользователя с возможностью sudo для установки и настройки Docker, но это руководство следует этому соглашению.

Установите пакет Docker с помощью следующей команды:

# apk add docker

Затем включите сценарий инициализации Docker:

# rc-update add docker

Наконец, запустите демон Docker:

# rc-service docker start

Вы можете проверить, что Docker работает с этой командой:

# docker info

Как и в прошлый раз, повторите этот процесс установки Docker для каждого сервера, который вы развернули в начале.

Инициализируйте рой Docker с одним управляющим узлом и одним рабочим узлом

После того, как вы выполнили все настройки, вы, наконец, готовы создать рой Docker.

Создайте рой и добавьте управляющий узел

Вернитесь к веб-консоли вашего Docker Managerсервера. Вы настроите этот сервер в качестве узла управления в своем рое. Если вы решили создать dockerпользователя ранее, войдите в систему, используя эту учетную запись, а не суперпользователя.

Введите следующую команду, но замените 192.0.2.1частный (не публичный) IP-адрес, который Docker Managerбыл назначен вашему серверу:

$ docker swarm init --advertise-addr 192.0.2.1

Docker отобразит команду, которую вы можете выполнить на других серверах в частной сети, чтобы добавить их в качестве рабочих узлов в этот новый рой. Сохраните эту команду.

Добавить рабочий узел

Теперь перейдите к веб-консоли вашего Docker Workerсервера, войдя в систему с dockerпользователем, если вы его создали.

Чтобы добавить этот сервер в качестве рабочего узла в рой, который вы только что создали, выполните команду, которую вы сохранили из выходных данных команды создания роя. Это будет выглядеть примерно так:

$ docker swarm join --token SWMTKN-1-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX-XXXXXXXXXXXXXXXXXXXXXXXXX 192.0.2.1:2377

Docker выведет, удалось ли узлу присоединиться к рою. Если у вас возникнут проблемы с добавлением рабочих узлов в Swarm, дважды проверьте конфигурацию вашей частной сети и обратитесь к этому руководству для устранения неполадок.

Если вы вначале развернули более двух серверов, вы можете добавить остальные как рабочие узлы в ваш рой с помощью приведенной выше команды, увеличив объем ресурсов, доступных для вашего приложения. Кроме того, вы можете добавить дополнительные узлы менеджера, но это выходит за рамки данного руководства.

Разверните Portainer с SSL для управления вашим роем Docker

На этом этапе ваш рой Docker готов к использованию. Однако вы можете при желании запустить стек Portainer на узле менеджера в вашем рое. Portainer предлагает удобный веб-интерфейс для управления вашим роем и узлами в нем.

Пришло время создать группу брандмауэров для вашего роя. Если ваше приложение не требует этого, выставляйте только порты на узлах вашего менеджера . Предоставление портов на ваших рабочих узлах без тщательного рассмотрения может привести к появлению уязвимостей.

Перейдите к интерфейсу управления брандмауэром и создайте новую группу брандмауэров. Ваше приложение должно указывать, какие порты предоставлять, но вы должны, по крайней мере, предоставить порт 9000для Portainer. Примените эту группу брандмауэра к Docker Managerсерверу.

Хотя это и не требуется, настоятельно рекомендуется защищать Portainer с помощью SSL. В этом руководстве вы будете использовать только самозаверяющий сертификат OpenSSL, но вы должны рассмотреть возможность использования Let's Encrypt на производстве.

Перейдите к веб-консоли Docker Managerсервера, войдите в систему, используя dockerпользователя, и используйте следующие команды для создания самозаверяющего сертификата OpenSSL:

$ mkdir ~/certs
$ openssl genrsa -out ~/certs/portainer.key 2048
$ openssl req -new -x509 -sha256 -key ~/certs/portainer.key -out ~/certs/portainer.pem -days 3650

Создайте новый файл ~/portainer-agent-stack.ymlсо следующим содержимым:

version: '3.2'

services:
  agent:
    image: portainer/agent
    environment:
      AGENT_CLUSTER_ADDR: tasks.agent
      CAP_HOST_MANAGEMENT: 1
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - /var/lib/docker/volumes:/var/lib/docker/volumes
      - /:/host
    networks:
      - agent_network
    deploy:
      mode: global

  portainer:
    image: portainer/portainer
    command: -H tcp://tasks.agent:9001 --tlsskipverify --ssl --sslcert /certs/portainer.pem --sslkey /certs/portainer.key
    ports:
      - target: 9000
        published: 9000
        protocol: tcp
        mode: host
    volumes:
      - portainer_data:/data
      - /home/docker/certs:/certs
    networks:
      - agent_network
    deploy:
      mode: replicated
      replicas: 1
      placement:
        constraints: [node.role == manager]

networks:
  agent_network:
    driver: overlay
    attachable: true

volumes:
  portainer_data:

После изменения этого файла конфигурации стека Docker, чтобы он соответствовал вашим требованиям, вы можете развернуть его:

$ docker stack deploy --compose-file ~/portainer-agent-stack.yml portainer

Чтобы убедиться, что Portainer работает, выполните следующую команду, дав Docker одну или две минуты для развертывания стека:

$ docker ps

Вы увидите два контейнера с изображениями portainer/portainer:latestи portainer/agent:latest, убедившись, что Portainer запущен правильно.

Теперь вы можете настраивать и управлять вашим Docker-роем, посещая общедоступный IP-адрес вашего Docker Managerсервера через порт 9000по протоколу HTTPS.