文章目录
- [docker swarm](#docker swarm)
docker swarm
docker swarm中重要的概念
从主机的层面来看,Docker Swarm 管理的是 Docker Host 集群。所以先来讨论一个重要的概念 - 集群化(Clustering)。
服务器集群由一组网络上相互连接的服务器组成,它们一起协同工作。一个集群和一堆服务器最显著的区别在于:
集群能够像 单个 系统那样工作,同时提供高可用、负载均衡和并行处理。
如果我们部署应用和服务时选择的是多个独立的服务器而非集群,资源的整体利用率则很难达到最优, 因为我们无法提前知道如何分布这些应用才能达到资源利用的最大化。而且,应用使用资源的趋势是波 动的,早上某些服务可能需要大量的内存,而下午使用量就降下来了。提前指定应用应该运行在哪个服 务器上会丧失业务的弹性,当某个服务器宕机了,我们不得不手工将受影响的应用迁移到其他服务器 上。
实现集群化后我们的思维方式就必须改变了:不再考虑一个一个的服务器,而是将集群看做是一个整 体。
部署应用时,我们只考虑需要多少内存和 CPU,而不是考虑会使用那台服务器的内存和 CPU。我们不应 该关心应用会被部署在哪里,我们关心的是运行这个应用需要哪些资源,然后将它部署到集群,集群管理程序(比如 Docker Swarm)会搞定这些细节。
集群整体容量的调整是通过往集群中添加和删除主机节点实现的。但不管做怎样的操作,集群始终还是 一个整体。
本章,我们会创建 Docker Swarm 集群、部署应用、伸缩扩展应用,以及对应用执行滚动升级。
Docker Swarm Mode
Docker v1.12 是一个非常重要的版本,Docker 重新实现了集群的编排方式。在此之前,提供集群功能的 Docker Swarm 是一个单独的软件,而且依赖外部数据库(比如 Consul、etcd 或 Zookeeper)。
从 v1.12 开始,Docker Swarm 的功能已经完全与 Docker Engine 集成,要管理集群,只需要启动 Swarm Mode。安装好 Docker,Swarm 就已经在那里了,服务发现也在那里了(不需要安装 Consul 等 外部数据库)。
相比 Kubernetes,用 Docker Swarm 创建集群非常简单,不需要额外安装任何软件,也不需要做任何 额外的配置。很适合作为学习容器编排引擎的起点。
重要概念
在创建集群之前,先明确几个概念。
swarm swarm
运行 Docker Engine 的多个主机组成的集群。
从 v1.12 开始,集群管理和编排功能已经集成进 Docker Engine。当 Docker Engine 初始化了一个 swarm 或者加入到一个存在的 swarm 时,它就启动了 swarm mode。
没启动 swarm mode 时,Docker 执行的是容器命令;运行 swarm mode 后,Docker 增加了编排 service 的能力。
Docker 允许在同一个 Docker 主机上既运行 swarm service,又运行单独的容器。
node
swarm 中的每个 Docker Engine 都是一个 node,有两种类型的 node:manager 和 worker。
为了向 swarm 中部署应用,我们需要在 manager node 上执行部署命令,manager node 会将部署任 务拆解并分配给一个或多个 worker node 完成部署。
manager node 负责执行编排和集群管理工作,保持并维护 swarm 处于期望的状态。swarm 中如果有 多个 manager node,它们会自动协商并选举出一个 leader 执行编排任务。
woker node 接受并执行由 manager node 派发的任务。默认配置下 manager node 同时也是一个 worker node,不过可以将其配置成 manager-only node,让其专职负责编排和集群管理工作。
work node 会定期向 manager node 报告自己的状态和它正在执行的任务的状态,这样 manager 就可 以维护整个集群的状态。
service
service 定义了 worker node 上要执行的任务。swarm 的主要编排任务就是保证 service 处于期望的状 态下。
举一个 service 的例子:在 swarm 中启动一个 http 服务,使用的镜像是 httpd:latest,副本数为 3。
manager node 负责创建这个 service,经过分析知道需要启动 3 个 httpd 容器,根据当前各 worker node 的状态将运行容器的任务分配下去,比如 worker1 上运行两个容器,worker2 上运行一个容器。
运行了一段时间,worker2 突然宕机了,manager 监控到这个故障,于是立即在 worker3 上启动了一 个新的 httpd 容器。
这样就保证了 service 处于期望的三个副本状态。
下一节我们开始实践 Docker Swarm。
部署swarm集群
swarm-manager 是 manager node,swarm-worker1 和 swarm-worker2 是 worker node。
通过 docker教案 中安装的docker虚拟机,完整克隆出swarm-manager,swarm-worker1,swarmworker2,并修改IP地址与主机名与上图相同。
所有节点的 Docker 版本均不低于 v1.12。我们的实验环境 node 的操作系统为 centos-stream-8,当然 其他 Linux 也是可以的。
在 swarm-manager 上执行如下命令创建 swarm。
bash
[root@swarm-manager ~ 17:53:50]# docker swarm init --advertise-addr 192.168.108.30
--advertise-addr 指定与其他 node 通信的地址。
docker swarm init 输出告诉我们:
① swarm 创建成功,swarm-manager 成为 manager node。
② 添加 worker node 需要执行的命令。
③ 添加 manager node 需要执行的命令。
执行 docker node ls 查看当前 swarm 的 node,目前只有一个 manager。
bash
[root@swarm-manager ~ 17:55:27]# docker node ls
ID HOSTNAME STATUS AVAILABILITY MANAGER STATUS ENGINE VERSION
v2hz8h7ksw98h5uzejyhlab6f * swarm-manager Ready Active Leader 26.1.3复制前面的 docker swarm join 命令,在 swarm-worker1 和 swarm-worker2 上执行,将它们添 加到 swarm 中。命令输出如下:
注意:三个节点将防火墙zone设置为trust
bash
[root@swarm-manager ~ 17:56:27]# firewall-cmd --set-default-zone=trusted
[root@swarm-worker1 ~ 17:56:17]# firewall-cmd --set-default-zone=trusted
[root@swarm-worker2 ~ 17:56:20]# firewall-cmd --set-default-zone=trusted
bash
[root@swarm-worker1 ~ 17:58:54]# docker swarm join --token SWMTKN-1-5faggf7qf6823h02me19e7rqymjwcyqblgxuhgobq1890jatuh-e2j2o4o3wbu9x7fbhjzy7yfkf 192.168.108.30:2377
This node joined a swarm as a worker.
[root@swarm-worker2 ~ 17:59:01]# docker swarm join --token SWMTKN-1-5faggf7qf6823h02me19e7rqymjwcyqblgxuhgobq1890jatuh-e2j2o4o3wbu9x7fbhjzy7yfkf 192.168.108.30:2377
This node joined a swarm as a worker.docker node ls 可以看到两个 worker node 已经添加进来了。
bash
[root@swarm-manager ~ 17:59:04]# docker node ls
ID HOSTNAME STATUS AVAILABILITY MANAGER STATUS ENGINE VERSION
v2hz8h7ksw98h5uzejyhlab6f * swarm-manager Ready Active Leader 26.1.3
taz3ra3lhk03pt0et7bsb7aqb swarm-worker1 Ready Active 26.1.3
jym7tba6r3d9xcrkc6tu5w4pt swarm-worker2 Ready Active 26.1.3如果当时没有记录下docker swarm init提示的添加 worker 的完整命令,可以通过 docker swarm join-token worker 查看
bash
[root@swarm-manager ~ 17:59:32]# docker swarm join-token worker
To add a worker to this swarm, run the following command:
docker swarm join --token SWMTKN-1-5faggf7qf6823h02me19e7rqymjwcyqblgxuhgobq1890jatuh-e2j2o4o3wbu9x7fbhjzy7yfkf 192.168.108.30:2377注意:此命令只能在 manager node 上执行。
至此,三节点的 swarm 集群就已经搭建好了,操作还是相当简单的。
下一节我们将在 swarm 中部署第一个 service。
运行第一个 Service
上一节我们创建好了 Swarm 集群, 现在部署一个运行 httpd 镜像的 service,执行如下命令:
bash
[root@swarm-manager ~ 18:27:32]# docker service create --name web_server httpd
ytos4vxgf8p7el6d3uwqt4qmb
overall progress: 1 out of 1 tasks
1/1: running
verify: Service ytos4vxgf8p7el6d3uwqt4qmb converged部署 service 的命令形式与运行容器的 docker run 很相似, --name 为 service 命名, httpd 为镜像 的名字。
通过docker service ls可以查看当前 swarm 中的 service
bash
[root@swarm-manager ~ 18:28:12]# docker service ls
ID NAME MODE REPLICAS IMAGE PORTS
ytos4vxgf8p7 web_server replicated 1/1 httpd:latest REPLICAS 显示当前副本信息,1/1的意思是 web_server 这个 service 期望的容器副本数量为 1,目前 已经启动的副本数量为 1。也就是当前 service 已经部署完成。命令 docker service ps 可以查看 service 每个副本的状态
bash
[root@swarm-manager ~ 18:28:38]# docker service ps web_server
ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS
5mkjvs3nl6iw web_server.1 httpd:latest swarm-manager Running Running 54 seconds ago可以看到 service 唯一的副本被分派到 swarm-manager,当前的状态CURRENT是 Running ,达到期望 DESIRED的状态 Running
如果觉得不放心,还可以到 swarm-manager去确认 httpd 容器已经运行。
bash
[root@swarm-manager ~ 18:29:01]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
26556ad59583 httpd:latest "httpd-foreground" About a minute ago Up About a minute 80/tcp web_server.1.5mkjvs3nl6iws4uor13vqtx9u当前 web_server 在 swarm 中的分布如图所示。
目前为止 Service 与普通的容器还没有太大的不同,下一节我们就要学习容器编排引擎的强大功能了,首 先从应用伸缩 Scale Up/Down 开始
如何实现 Service 伸缩?
上一节部署了只有一个副本的 Service,不过对于 web 服务,我们通常会运行多个实例。这样可以负载 均衡,同时也能提供高可用。
swarm 要实现这个目标非常简单,增加 service 的副本数就可以了。在 swarm-manager 上执行如下命 令:
bash
[root@swarm-manager ~ 18:35:02]# docker service scale web_server=5
web_server scaled to 5
overall progress: 5 out of 5 tasks
1/5: running
2/5: running
3/5: running
4/5: running
5/5: running
verify: Service web_server converged 副本数增加到 5,通过 docker service ls 和 docker service ps 查看副本的详细信息。
bash
[root@swarm-manager ~ 18:49:13]# docker service ls
ID NAME MODE REPLICAS IMAGE PORTS
ytos4vxgf8p7 web_server replicated 5/5 httpd:latest
[root@swarm-manager ~ 18:49:45]# docker service ps web_server
ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS
5mkjvs3nl6iw web_server.1 httpd:latest swarm-manager Running Running 22 minutes ago
q4tr6iew3a2e web_server.2 httpd:latest swarm-worker2 Running Running about a minute ago
lbr7f9uw49zv web_server.3 httpd:latest swarm-worker2 Running Running about a minute ago
zk0qprhui5qb web_server.4 httpd:latest swarm-manager Running Running 2 minutes ago
t93idgcq2t4x web_server.5 httpd:latest swarm-worker1 Running Running about a minute ago 5 个副本已经分布在 swarm 的所有三个节点上
默认配置下 manager node 也是 worker node,所以 swarm-manager 上也运行了副本。如果不希望在 manager 上运行 service,可以执行如下命令:
bash
[root@swarm-manager ~ 18:50:12]# docker node update --availability drain swarm-manager
swarm-manager通过 docker node ls 查看各节点现在的状态:
bash
[root@swarm-manager ~ 18:51:12]# docker node ls
ID HOSTNAME STATUS AVAILABILITY MANAGER STATUS ENGINE VERSION
v2hz8h7ksw98h5uzejyhlab6f * swarm-manager Ready Drain Leader 26.1.3
taz3ra3lhk03pt0et7bsb7aqb swarm-worker1 Ready Active 26.1.3
jym7tba6r3d9xcrkc6tu5w4pt swarm-worker2 Ready Active 26.1.3Drain 表示 swarm-manager 已经不负责运行 service,之前 swarm-manager 运行的那个副本会如何 处理呢?用 docker service ps 查看一下:
bash
[root@swarm-manager ~ 18:51:23]# docker service ps web_server
ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS
am8wrh04uzhf web_server.1 httpd:latest swarm-worker1 Running Running 38 seconds ago
5mkjvs3nl6iw \_ web_server.1 httpd:latest swarm-manager Shutdown Shutdown 40 seconds ago
q4tr6iew3a2e web_server.2 httpd:latest swarm-worker2 Running Running 2 minutes ago
lbr7f9uw49zv web_server.3 httpd:latest swarm-worker2 Running Running 2 minutes ago
13cuti5utu76 web_server.4 httpd:latest swarm-worker1 Running Running 39 seconds ago
zk0qprhui5qb \_ web_server.4 httpd:latest swarm-manager Shutdown Shutdown 40 seconds ago
t93idgcq2t4x web_server.5 httpd:latest swarm-worker1 Running Running 2 minutes ago swarm-manager 上的副本 web_server.1和web_server.4 已经被 Shutdown 了,为了达到 5 个副本数的目标,在 swarm-worker1 上添加了副本web_server.1和 web_server.4 。
前面我们的场景是 scale up,我们还可以 scale down,减少副本数,运行下面的命令:
bash
[root@swarm-manager ~ 18:52:41]# docker service scale web_server=3
web_server scaled to 3
overall progress: 3 out of 3 tasks
1/3: running
2/3: running
3/3: running
verify: Service web_server converged
[root@swarm-manager ~ 18:53:04]# docker service ls
ID NAME MODE REPLICAS IMAGE PORTS
ytos4vxgf8p7 web_server replicated 3/3 httpd:latest
[root@swarm-manager ~ 18:53:06]# docker service ps web_server
ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS
am8wrh04uzhf web_server.1 httpd:latest swarm-worker1 Running Running about a minute ago
5mkjvs3nl6iw \_ web_server.1 httpd:latest swarm-manager Shutdown Shutdown about a minute ago
q4tr6iew3a2e web_server.2 httpd:latest swarm-worker2 Running Running 4 minutes ago
lbr7f9uw49zv web_server.3 httpd:latest swarm-worker2 Running Running 4 minutes ago
zk0qprhui5qb web_server.4 httpd:latest swarm-manager Shutdown Shutdown about a minute ago 可以看到, web_server.4和 web_server.5这两个副本已经被删除了。
Swarm 如何实现 Failover?
故障是在所难免的,容器可能崩溃,Docker Host 可能宕机,不过幸运的是,Swarm 已经内置了 failover 策略。
创建 service 的时候,我们没有告诉 swarm 发生故障时该如何处理,只是说明了我们期望的状态(比如 运行3个副本),swarm 会尽最大的努力达成这个期望状态,无论发生什么状况。
以上一节我们部署的 Service 为例,当前 3 个副本分布在 swarm-worker1 和 swarm-worker2 上。
现在我们测试 swarm 的 failover 特性,关闭 swarm-worker1。
bash
[root@swarm-worker1 ~ 18:28:08]# shutdown nowSwarm 会检测到 swarm-worker1 的故障,并标记为 Down。
bash
[root@swarm-manager ~ 19:01:03]# docker node ls
ID HOSTNAME STATUS AVAILABILITY MANAGER STATUS ENGINE VERSION
v2hz8h7ksw98h5uzejyhlab6f * swarm-manager Ready Drain Leader 26.1.3
taz3ra3lhk03pt0et7bsb7aqb swarm-worker1 Down Active 26.1.3
jym7tba6r3d9xcrkc6tu5w4pt swarm-worker2 Ready Active 26.1.3Swarm 会将 swarm-worker1 上的副本调度到其他可用节点。我们可以通过 docker service ps 观察 这个 failover 过程。
bash
[root@swarm-manager ~ 19:01:13]# docker service ps web_server
ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS
5adhta8mpnp5 web_server.1 httpd:latest swarm-worker2 Running Running 34 seconds ago
am8wrh04uzhf \_ web_server.1 httpd:latest swarm-worker1 Shutdown Running 10 minutes ago
5mkjvs3nl6iw \_ web_server.1 httpd:latest swarm-manager Shutdown Shutdown 10 minutes ago
q4tr6iew3a2e web_server.2 httpd:latest swarm-worker2 Running Running 12 minutes ago
lbr7f9uw49zv web_server.3 httpd:latest swarm-worker2 Running Running 12 minutes ago
zk0qprhui5qb web_server.4 httpd:latest swarm-manager Shutdown Shutdown 10 minutes ago 可以看到, web_server.1 已经从 swarm-worker1 迁移到了 swarm-worker2,之前运行在故障节点 swarm-worker1 上的副本状态被标记为 Shutdown 。
bash
[root@swarm-manager ~ 19:01:40]# docker service ls
ID NAME MODE REPLICAS IMAGE PORTS
ytos4vxgf8p7 web_server replicated 4/3 httpd:latest如何访问 Service?
前面我们已经学习了如何部署 service,也验证了 swarm 的 failover 特性。不过截止到现在,有一个重 要问题还没有涉及:如何访问 service?这就是本节要讨论的问题。
为了便于分析,我们重新部署 web_server。
bash
[root@swarm-manager ~ 19:37:50]# docker service rm web_server
web_server
[root@swarm-manager ~ 19:38:11]# docker service create --name web_server --replicas=2 httpd
qu5be6bm55zpmc2uyw6eqh3pt
overall progress: 2 out of 2 tasks
1/2: running
2/2: running
verify: Service qu5be6bm55zpmc2uyw6eqh3pt converged
[root@swarm-manager ~ 19:38:54]# docker service ps web_server
ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS
ma9b066nduvf web_server.1 httpd:latest swarm-worker2 Running Running 18 seconds ago
bn9aj51r40q9 web_server.2 httpd:latest swarm-worker2 Running Running 18 seconds ago① docker service rm 删除 web_server,service 的所有副本(容器)都会被删除。
② 重新创建 service,这次直接用 --replicas=2 创建两个副本。
③ 每个 worker node 上运行了一个副本。
好了,现在 service 已经在那里了,我们如何访问呢?
要访问 http 服务,最起码网络得通吧,服务的 IP 我们得知道吧,但这些信息目前我们都不清楚。不过至 少我们知道每个副本都是一个运行的容器,要不先看看容器的网络配置吧。
bash
[root@swarm-worker2 ~ 18:28:21]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
814bb1b07dd6 httpd:latest "httpd-foreground" About a minute ago Up About a minute 80/tcp web_server.2.bn9aj51r40q9h75wy4rdk2q69
9b52567c9874 httpd:latest "httpd-foreground" About a minute ago Up About a minute 80/tcp web_server.1.ma9b066nduvf16gjpvcsnxj0s在 swarm-worker1 上运行了一个容器,是 web_server 的一个副本,容器监听了 80 端口,但并没有映 射到 Docker Host,所以只能通过容器的 IP 访问。查看一下容器的 IP。
bash
[root@swarm-worker2 ~ 19:39:50]# docker inspect web_server.1.ma9b066nduvf16gjpvcsnxj0s
......
"Networks": {
"bridge": {
"IPAMConfig": null,
"Links": null,
"Aliases": null,
"MacAddress": "02:42:ac:11:00:03",
"NetworkID": "976e9febbf098a453fd0e38cc2efaf4107dcf6e010bb4264351925cfb36ec3bf",
"EndpointID": "50b0407db095b2722284f8a34df65317e7817582cb10d0aca601a31922576785",
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.3",
......容器 IP 为 172.17.0.3 ,实际上连接的是 Docker 默认 bridge 网络。
我们可以直接在 swarm-worker1 上访问容器的 http 服务。
bash
[root@swarm-worker2 ~ 19:40:44]# curl 172.17.0.3
<html><body><h1>It works!</h1></body></html>但这样的访问也仅仅是容器层面的访问,服务并没有暴露给外部网络,只能在 Docker 主机上访问。换句 话说,当前配置下,我们无法访问 service web_server。
从外部访问 service
要将 service 暴露到外部,方法其实很简单,执行下面的命令:
bash
[root@swarm-manager ~ 19:40:03]# docker service update --publish-add 8080:80 web_server
web_server
overall progress: 2 out of 2 tasks
1/2: running
2/2: running
verify: Service web_server converged如果是新建 service,可以直接用使用 --publish 参数,比如:
bash
[root@swarm-manager ~ 20:04:12]# docker service create --name web_server --publish 8080:80 --replicas=2 httpd容器在 80 端口上监听 http 请求, --publish-add 8080:80 将容器的 80 映射到主机的 8080 端口,这 样外部网络就能访问到 service 了。
bash
[root@swarm-manager ~ 20:05:30]# curl http://192.168.108.30:8080
<html><body><h1>It works!</h1></body></html>
[root@swarm-worker1 ~ 20:06:01]# curl http://192.168.108.30:8080
<html><body><h1>It works!</h1></body></html>
[root@swarm-worker2 ~ 20:03:43]# curl http://192.168.108.30:8080
<html><body><h1>It works!</h1></body></html>大家可能会奇怪,为什么 curl 集群中任何一个节点的 8080 端口,都能够访问到 web_server? 这实际上就是使用 swarm 的好处了,这个功能叫做 routing mesh,我们下一节重点讨论。
神奇的 routing mesh
接上一节案例,当我们访问任何节点的 8080 端口时,swarm 内部的 load balancer 会将请求转发给 web_server 其中的一个副本。
这就是 routing mesh 的作用。
所以,无论访问哪个节点,即使该节点上没有运行 service 的副本,最终都能访问到 service。
另外,我们还可以配置一个外部 load balancer,将请求路由到 swarm service。比如配置 HAProxy,将 请求分发到各个节点的 8080 端口。
ingress 网络
当我们应用 --publish-add 8080:80 时,swarm 会重新配置 service,我们看看容器都发生了哪些重 要变化。
bash
[root@swarm-manager ~ 22:35:37]# docker service ps web_server
ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS
jjjztogllg7i web_server.1 httpd:latest Running Pending 2 minutes ago "no suitable node (3 nodes not..."
z08nnflkabxr \_ web_server.1 httpd:latest swarm-worker2 Shutdown Running 3 hours ago
ma9b066nduvf \_ web_server.1 httpd:latest swarm-worker2 Shutdown Shutdown 3 hours ago
xtq3lzz8u39p web_server.2 httpd:latest Running Pending 2 minutes ago "no suitable node (3 nodes not..."
vc2p3hhujqq0 \_ web_server.2 httpd:latest swarm-worker2 Shutdown Running 3 hours ago
bn9aj51r40q9 \_ web_server.2 httpd:latest swarm-worker2 Shutdown Shutdown 3 hours ago是不是觉得很诧异?之前的所有副本都被 Shutdown,然后启动了新的副本。我们查看一下新副本的容 器网络配置。
bash
[root@swarm-worker2 ~ 05:06:30]# docker inspect web_server.1.z08nnflkabxrrqj9hylbbike4
......
"Networks": {
"ingress": {
"IPAMConfig": {
"IPv4Address": "10.0.0.7"
......容器的网络与 --publish-add 之前已经大不一样了。
bash
[root@swarm-worker2 ~ 05:06:59]# docker network ls
NETWORK ID NAME DRIVER SCOPE
08a2a4836cd9 bridge bridge local
809ef85faaa7 docker_gwbridge bridge local
45c508ace404 host host local
jlwa831rn7e8 ingress overlay swarm
3e47ca22970e none null local实际上:
ingress ,其作用是让运行在不同主机上的容器可以相互通信。
docker_gwbridge ,其作用是让容器能够访问到外网。
ingress 网络是 swarm 创建时 Docker 为自动我们创建的,swarm 中的每个 node 都能使用 ingress 。
通过 overlay 网络,主机与容器、容器与容器之间可以相互访问;同时,routing mesh 将外部请求路由 到不同主机的容器,从而实现了外部网络对 service 的访问。