在Debian 9上使用Docker Swarm（CE）进行粘性会话

• 介绍
• 先决条件
• 我是谁
• 设置Traefik
• 这个怎么运作

介绍

Docker Swarm将您的单个服务器变成计算机集群；便于扩展，高可用性和负载平衡。Swarm负载均衡器实现了循环负载均衡策略，这可能会干扰（旧式）有状态应用程序的正常运行，这些应用程序需要某种形式的粘性会话以允许具有多个实例的高可用性设置。Docker Enterprise Edition支持Layer-7粘性会话，但是在本指南中，我们将重点介绍免费（CE）版本的Docker。为了实现粘性会话，我们将使用Traefik。

先决条件

• 启用私有网络的同一子网中至少有两个新部署和更新的Debian 9实例
• 在这些实例上安装了Docker CE
• 这些实例应该是同一Swarm的一部分，并且应该能够通过专用网络相互通信
• Docker和Docker Swarm的先验知识
• 具有sudo权限的非root用户（可选，但强烈建议不要使用root用户）

在本教程中，我们将使用两个具有私有IP地址192.168.0.100和的Vultr实例192.168.0.101。它们都是Docker Swarm管理器节点（这对于生产而言并不理想，但对于本教程来说足够了）。

我是谁

本教程将jwilder/whoamidocker映像用作演示应用程序。这个简单的容器将使用响应容器的名称来响应REST调用，从而非常容易测试粘性会话是否正常工作。该图像显然仅用于演示目的，需要用您自己的应用程序的图像替换。

whoami服务的配置如下：

sudo docker network create whoaminet -d overlay
sudo docker service create --name whoami-service --mode global --network whoaminet --publish "80:8000"  jwilder/whoami
sudo iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT

如果随后curl在的whoami REST端点http://192.168.0.100/，我们可以看到Docker Swarm的循环负载均衡工作：

curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3
curl http://192.168.0.100
I'm ae9d1763b4ad
curl http://192.168.0.100
I'm a6a8c9294fc3

在现代浏览器（例如Chrome或Firefox）上进行测试是没有用的，因为它们旨在保持连接畅通无阻，并且Docker Swarm负载平衡器只会在每次新连接时切换到另一个容器。如果要使用浏览器进行测试，则必须等待至少30秒才能关闭连接，然后再次刷新。

设置Traefik

Traefik本机支持Docker Swarm，它可以即时检测和注册或注销容器，并通过内部覆盖网络与您的应用程序通信。在开始处理对应用程序的请求之前，Traefik需要一些有关您的应用程序的信息。通过在Swarm服务中添加标签，可以将这些信息提供给Traefik：

sudo docker service update --label-add "traefik.docker.network=whoaminet" --label-add "traefik.port=8000" --label-add "traefik.frontend.rule=PathPrefix:/" --label-add "traefik.backend.loadbalancer.stickiness=true" whoami-service

以下列表描述了每个标签的含义：

• traefik.docker.network ：Docker覆盖网络，Traefik将通过该网络与您的服务进行通信
• traefik.port ：您的服务正在侦听的端口（这是内部公开的端口，而不是已发布的端口）
• traefik.frontend.rule：PathPrefix:/ 将上下文根“ /” 绑定到此服务
• traefik.backend.loadbalancer.stickiness ：为此服务启用粘性会话

现在whoami-service已经为标记了必需的标签，我们可以将Traefik服务添加到群组：

sudo docker service create --name traefik -p8080:80 -p9090:8080 --mount type=bind,source=/var/run/docker.sock,destination=/var/run/docker.sock --mode=global --constraint 'node.role == manager' --network whoaminet traefik --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG

此命令一次执行很多操作，如以下列表所示：

• --name traefik ：我们新的Docker服务的名称为Traefik
• -p8080:80：我们将Traefik的端口发布80到端口，8080因为80我们的whoami服务已在使用该端口
• -p9090:8080 ：我们将Traefik自己的Web界面发布到port 9090
• --mount ... ：我们将Docker套接字安装到容器中，以便Traefik可以访问主机的Docker运行时
• --global ：出于高可用性的原因，我们希望在每个管理器节点上使用Traefik容器
• --constraint 'node.role == manager'：我们只希望Traefik在管理者节点上运行，因为工作节点无法为Traefik提供所需的信息。例如，docker service ls在工作节点上不起作用，因此Traefik甚至无法发现正在运行的服务
• --network whoaminet：将Traefik连接到与我们相同的网络whoami-service，否则无法连接。我们之前曾告诉Traefik使用该traefik.docker.network标签通过此网络连接到我们的服务
• traefik ：告诉Docker为此服务使用最新的Traefik Docker映像
• --docker --docker.swarmmode --docker.watch --web --loglevel=DEBUG：命令行参数直接传递给Traefik，以使其可以在Docker群模式下运行。DEBUG在这里是可选的，但是在设置过程中和本教程中都很有趣

剩下要做的就是在Debian防火墙中打开必要的端口：

sudo iptables -I INPUT 1 -p tcp --dport 8080 -j ACCEPT
sudo iptables -I INPUT 1 -p tcp --dport 9090 -j ACCEPT

这个怎么运作

Traefik启动后，您会在日志中看到Traefik发现了两个whoami容器。它还输出用于处理粘性会话的cookie名称：

time="2018-11-25T13:17:30Z" level=debug msg="Configuration received from provider docker: {\"backends\":{\"backend-whoami-service\":{\"servers\":{\"server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05\":{\"url\":\"http://10.0.0.5:8000\",\"weight\":1},\"server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6\":{\"url\":\"http://10.0.0.4:8000\",\"weight\":1}},\"loadBalancer\":{\"method\":\"wrr\",\"stickiness\":{}}}},\"frontends\":{\"frontend-PathPrefix-0\":{\"entryPoints\":[\"http\"],\"backend\":\"backend-whoami-service\",\"routes\":{\"route-frontend-PathPrefix-0\":{\"rule\":\"PathPrefix:/\"}},\"passHostHeader\":true,\"priority\":0,\"basicAuth\":null}}}"
time="2018-11-25T13:17:30Z" level=debug msg="Wiring frontend frontend-PathPrefix-0 to entryPoint http"
time="2018-11-25T13:17:30Z" level=debug msg="Creating backend backend-whoami-service"
time="2018-11-25T13:17:30Z" level=debug msg="Adding TLSClientHeaders middleware for frontend frontend-PathPrefix-0"
time="2018-11-25T13:17:30Z" level=debug msg="Creating load-balancer wrr"
time="2018-11-25T13:17:30Z" level=debug msg="Sticky session with cookie _a49bc"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-1-a179b2e38a607b1127e5537c2e614b05 at http://10.0.0.5:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating server server-whoami-service-2-df8a622478a5a709fcb23c50e689b5b6 at http://10.0.0.4:8000 with weight 1"
time="2018-11-25T13:17:30Z" level=debug msg="Creating route route-frontend-PathPrefix-0 PathPrefix:/"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :80"
time="2018-11-25T13:17:30Z" level=info msg="Server configuration reloaded on :8080"

如果我们弯腰，http://192.168.0.100:8080我们可以看到_a49bc已经设置了一个新的cookie ：

curl -v http://192.168.0.100:8080
* About to connect() to 192.168.0.100 port 8080 (#0)
*   Trying 192.168.0.100...
* Connected to 192.168.0.100 (192.168.0.100) port 8080 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.0.100:8080
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Length: 17
< Content-Type: text/plain; charset=utf-8
< Date: Sun, 25 Nov 2018 13:18:40 GMT
< Set-Cookie: _a49bc=http://10.0.0.5:8000; Path=/
<
I'm a6a8c9294fc3
* Connection #0 to host 192.168.0.100 left intact

如果在随后的调用中将此Cookie发送给Traefik，我们将始终转发到同一容器：

curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3
curl http://192.168.0.100:8080 --cookie "_a49bc=http://10.0.0.5:8000"
I'm a6a8c9294fc3

Cookie除了Traefik应发送到请求的容器的内部IP地址外，不包含任何其他内容。如果将cookie值更改为http://10.0.0.4:8000，则该请求将有效地转发到另一个容器。如果永远不要将cookie发送给Traefik，则粘性会话将无法工作，并且应用程序的容器和Traefik容器之间的请求将得到平衡。

这就是在Debian 9上的Docker CE中设置第7层粘性会话所需的一切。