docker-swarm 教程: Docker config 篇

使用Docker config 存储数据 （一）

关于配置

Docker swarm服务配置允许我们在服务镜像或运行容器之外存储非敏感信息，例如配置文件。这允许您保持镜像尽可能通用，而无需将配置文件绑定到容器或使用环境变量。

配置的操作方式与密钥类似，只是它们在静态时没有加密，并且在不使用RAM磁盘的情况下直接挂载到容器的文件系统中。配置可以随时从服务中添加或删除，服务可以共享配置。甚至可以将配置与环境变量或标签结合使用，以获得最大的灵活性。配置值可以是通用字符串或二进制内容（大小高达500kb）。

注意：Docker配置仅适用于swarm服务，不适用于独立容器。要使用此功能，请考虑调整容器以作为规模为1的服务运行。

Linux和Windows服务都支持配置。

Docker如何管理配置

当我们将配置添加到集群中时，Docker会通过相互TLS连接将配置发送到群管理器。配置存储在Raft日志中，该日志是加密的。整个Raft日志在其他管理器中复制，确保配置与其他群管理数据相同的高可用性保证。

当我们授予新创建或正在运行的服务对配置的访问权限时，该配置将作为文件挂载到容器中。在Linux容器中，容器中挂载点的位置默认为/<config-name>。在Windows容器中，配置都挂载到C:\ProgramData\Docker\configs中，并创建符号链接到所需的位置，默认为C:\<config-name>。

可以使用数字ID或用户或组的名称为配置设置所有权（uid和gid）。我们还可以指定文件权限（mode）。对于Windows容器，这些设置被忽略。

• 如果没有设置，则配置由运行容器命令（通常是root）的用户和该用户的默认组（也经常是root）拥有。
• 如果没有设置，则配置具有世界可读权限（模式0444），除非在容器内设置了umask，在这种情况下，该模式会受到该umask值的影响。

我们可以随时更新服务，授予其对其他配置的访问权限或撤销对给定配置的访问权限。

只有当节点是集群的管理节点或正在运行已授予配置访问权限的服务任务时，节点才能访问配置。当容器任务停止运行时，与之共享的配置将从该容器的内存文件系统中卸载，并从节点的内存中刷新。

如果节点在运行可以访问配置的任务容器时失去与群的连接，则任务容器仍然可以访问其配置，但在节点重新连接到群之前无法接收更新。

我们可以随时添加或检查单个配置，或列出所有配置。但是无法删除正在运行的服务正在使用的配置。

要更轻松地更新或回滚配置，请考虑在配置名称中添加版本号或日期。由于能够在给定容器中控制配置的挂载点，这变得更加容易。

要更新堆栈，请更改您的Compose文件，然后重新运行docker stack deploy -c <new-compose-file> <stack-name>。如果在该文件中使用新的配置，集群服务将开始使用它们。

我们可以运行docker stack rm来停止应用程序并删除堆栈。这将删除由具有相同堆栈名称的docker stack deploy创建的任何配置。这将删除所有 配置，包括服务未引用的配置和docker service update --config-rm后剩余的配置。

docker config命令的信息

例子

我们跟着以下的示例来了解配置相关指令，这些示例说明了Docker配置是如何使用的。

在编写文件中定义和使用配置

docker stack命令支持在Compose文件中定义配置。然而，docker compose不支持configs配置。

简单示例：开始配置m

这个简单的示例仅在几个命令中就显示了配置的工作原理。

1. 向Docker添加配置。docker config create命令读取标准输入，因为最后一个参数（表示要从中读取配置的文件）设置为-。

    echo "This is a config" | docker config create my-config -

2. 创建一个redis服务，并授予它对配置的访问权限。默认情况下，容器可以在/my-config访问配置，但我们可以使用target选项自定义容器上的文件名。

    docker service create --name redis --config my-config redis:alpine

3. 使用docker service ps验证任务是否正常运行。如果一切正常，输出看起来与此相似：

    docker service ps redis

4. 使用docker ps获取redis服务任务容器的ID，以便您可以使用docker container exec连接到容器并读取配置文件数据文件的内容，该文件默认为可被所有人读取，并且与配置文件名称相同。下面的第一个命令说明了如何查找容器ID，第二个和第三个命令使用shell完成来自动执行此操作。

    docker ps --filter name=redis -q
    docker container exec $(docker ps --filter name=redis -q) ls -l /my-config
    docker container exec $(docker ps --filter name=redis -q) cat /my-config

5. 尝试删除配置。删除失败，因为redis服务正在运行并可以访问配置。

    docker config ls
    docker config rm my-config

6. 通过更新服务，从正在运行的redis服务中删除对配置的访问权限。

    docker service update --config-rm my-config redis

7. 再次重复步骤3和4，验证该服务不再有权访问配置。容器ID不同，因为service update命令会重新部署服务。

   $ docker container exec -it $(docker ps --filter name=redis -q) cat /my-config
   
   cat: can't open '/my-config': No such file or directory

8. 停止并删除服务，并从Docker中删除配置。

    docker service rm redis
    docker config rm my-config

相关文章

• docker-swarm 教程：stack(堆栈式服务)及节点管理篇 - 掘金 (juejin.cn)
• docker-swarm 教程：服务管理篇 - 掘金 (juejin.cn)
• docker-swarm 教程：部署篇 - 掘金 (juejin.cn)