Docker 与 服务发现 - 2

注：该文由 adetante 编写，该文的原文地址为 Service discovery with Docker - 2

该文紧接着上篇文章 Docker 与服务发现 - 1

在上一篇文章中，我们看到了一个简单的方法，通过使用 Synapse 来做基于同一台 Docker 主机上的多个容器的服务发现。

现在，我们想在多台 Docker 主机上部署相同的应用，来扩展不同的服务以及确保容错性。

这次，在架构中我们需要一个新的组件： etcd 。

etcd

etcd 是一个键值存储，用于共享配置以及服务发现。它使用 GO 编写，并且是 CoreOS 发行版的一部分。etcd 集群提供了高可用的机制：基于 Raft，它允许一组 etcd 实例组成一个集群。

etcd 提供了 REST API，允许客户端创建，更新和删除键。客户端还可以监听发生在特定键上的变化（客户端将被通知在该键上或者是键的目录的每次变化）。当创建一个键，客户端可以定义一个 TTL （存活时间），当客户端不再更新这个键的时候，它将会被自动清除，这个对于服务注册是非常有用的。

概述

原理就是 Docker 容器注册进 etcd 集群：当一个应用的实例作为一个 Docker 容器启动的时候，该容器自己注册进 etcd 集群 ，当一个容器停止或者是应用挂掉的时候，对应的键将被移除出 etcd 集群。

Haproxy 只需要简单的查找 etcd 来获取可用的后端来提供 HTTP 服务，Haproxy 监听 etcd 的变化并且相应的更新配置。

在这篇文章中，我将描述服务注册部分的解决方案，关于 Haproxy 的发现部分将在下一篇文章中描述。

Docker 的动态端口映射

Docker 是一个非常伟大的工具，它提供了很多的功能来简化应用程序的部署。但它有一个新的方式管理以及部署这些应用。

其中的一个方式就是对外公开的端口关联应用的能力。

当你启动一个 Docker 容器，你可以使用以下命令：

docker run -p 8000 myApplication

-p 8000 参数意味着你可以暴露 8000 端口运行这个容器，并且在 Docker 主机上是一个随机的端口。我们的应用在 Docker 容器中是监听的 8000 端口，但是这个端口将被映射到 Docker 主机上的一个动态端口。为了查看映射的端口，当容器正在运行的时候，你可以使用 docker ps 命令：

ONTAINER ID        IMAGE                COMMAND              CREATED             STATUS              PORTS                                              NAMES    
6275ea4e2ebd        coreos/etcd:latest   /opt/etcd/bin/etcd   2 weeks ago         Up 1 seconds        0.0.0.0:49153->4001/tcp, 0.0.0.0:49154->7001/tcp   pensive_leakey

在以上的输出中，你可以看到 PORTS 列的在容器中的 4001 端口被映射成了 在 Docker 主机上的 O.O.O.O:49153。

对于我们而言，意味着注册进程必须考虑到端口映射。我们必须注册映射端口，而不是应用监听的端口。同样的，我们必须使用 Docker 主机的 IP 代替容器的 IP 来注册。

服务注册

为了把服务注册进 etcd ，我们有以下不同的解决方案：

• 应用它自己能建立一个连接到 etcd，并且创建一个 key 来通知其他的服务它正在运行。当停止的时候，应用必须移除该 key 。它可能在服务终止的时候会变得更加复杂，但是使用 TTL ，我们可以使损失降到最小（key 不会被立即移除，仅仅在 TTl 后才被移除）。但是这意味着应用必须感知到注册进程：必须知道 etcd 实例的清单列表，必须保持一个循环定期的刷新 etcd 中的 key 。。。我更喜欢应用能与注册进程完全独立。
• 在容器启动的时候，执行一个启动脚本来创建 etcd 中的 key ，然后在停止的时候移除它。它可能在通知应用停止的时候会变得更加复杂。而且，这还有一个风险，就是在应用完全启动之前， key 已经在 etcd 中被创建了，然后 Haproxy 可能转发 HTTP 请求到容器中，尽管应用还未启动。
• 一个 ‘sidekick’ 进程，运行在同样的容器中，能处理应用的注册和健康检查。这个方法被 CoreOS 用于管理服务发现。这就是我将在示例中使用的解决方案。

Sidekick 进程用于注册

负责注册的进程执行以下任务：

• 调用 Docker API 来检索应用在容器中的对外i端口映射到本地主机的端口
• 执行应用的健康检查：当应用可用，使用 Docker 主机的 IP 和端口 创建或是更新 etcd 中的 key
• 当应用没有正确响应，或者容器停止了：从 etcd 中移除 key

为了执行这些任务，我使用 GO 写了一些程序，可用的版本在我的 GitHub 仓库中：github.com/adetante/dockreg。

这个程序接收以下参数：

--etcd：必须的，用于注册的 etcd 的服务列表，使用以下格式：

--etcd http://host1:port1,http://host2:port2

--key：可选的，程序在 etcd 中为 keys 创建的父目录的名字，默认的值是 service 。

--port：必须的，应用用于注册的本地端口
--docker：可选的，用于访问 Docker API 的 Docker UNIX socket，默认的值是 /var/run/docker.sock。（看 Docker Introspection）
--ip：可选的，放进 etcd 的 Docker 主机的 IP 地址。如果未指定，IP 将被从 Docker API 的端口映射找到（意味着，你必须在 docker 运行的命令中指定它，比如 docker run -p 8000::192.168.1.54）。

这个进程将每 5 秒请求应用监听的 --port，如果它在 3 秒内没有得到响应，key 将被从 etcd 中移除，否则，一个 key 将被创建在 etcd 服务器的以下路径：/keys/{service}/{ip}:{mapped_port}。

Docker 回顾

正如你以上所见，dockreg 进程通过一个 Unix Domain socket（/var/run/docker.sock）访问 Docker API。这是必须的，因为 Docker 没有提供其他的方式来获取容器的信息。这个需求在 Docker repository 中被讨论（see issues 7421 and 3778 for example），这个在未来的版本可能会实现。目前，唯一的方法就是通过共享容器的 docker.sock 来实现这个需求。它并不理想，因为安全原因（使用这个接口，在安全认证之外，容器能访问和修改很多信息）。

为了分享 Docker socket，意味着容器必须以 -v 选项启动：

docker run -p 8000 -v /var/run/docker.sock:/var/run/docker.sock myApplication

如果一个端口映射已经在容器中定义，JSON 响应内容包含的一些东西如下：

"NetworkSettings": {
  "Bridge": "docker0",
  "Gateway": "172.17.42.1",
  "IPAddress": "172.17.0.4",
  "IPPrefixLen": 16,
  "PortMapping": null,
  "Ports": {
    "8000/tcp": [
      {
        "HostIp": "0.0.0.0",
        "HostPort": "49155"
      }
    ]
  }
}

dockreg 将使用响应中的 ports 数据来找回对外服务的端口（和 IP 地址）。

现在开始

作为一个概念验证，我在基于 Vagrant 构建的 2 个主机上创建了一个 demo，首先，克隆 vagrant 仓库：

git clone git@github.com:adetante/dockreg-vagrant.git

这个仓库包含：

• 用于创建 2 个主机的 Vagrantfile。基础的 Vagrant box 是一个 Ubuntu 14.04 以及 放进 VM 的 2 个 Docker 镜像：ubuntu 和 etcd，这个仅仅是用于完成主机加速。
• NodeJS 示例程序，我们想部署进 Docker 容器中的。
• 一个 dockreg 的构建工具
• 一个 Dockerfile 用于构建一个镜像，包含 NodeJS app 和 dockreg sidekick 进程。

当开始的时候，vagrant 脚本（build.sh） 将启动一个 etcd 容器，作为一个 host-1 和 host-2 的集群配置。下一步，它将构建一个包含 NodeJS app 和 dockreg sidekick 进程的镜像，Dockerfile 如下：

FROM ubuntu:trusty

RUN apt-get update && \
    apt-get install -y python python-setuptools nodejs && \
    easy_install supervisor && \
    mkdir /var/log/dockreg

EXPOSE 8000

CMD []
ENTRYPOINT ["/usr/local/bin/supervisord","-c","/etc/supervisord.conf"]

ADD supervisord.conf /etc/supervisord.conf
ADD dockreg /usr/bin/dockreg

ADD node-app/server.js /root/server.js

RUN chmod a+x /usr/bin/dockreg

在这个构建镜像中，一个 supervisord 进程将启动 NodeJS 应用和 dockreg 进程。

Supervisord 配置如下：

[supervisord]
nodaemon=true
logfile=/var/log/dockreg/supervisord.log
logfile_maxbytes=50MB
logfile_backups=4
loglevel=info
pidfile=/var/run/supervisord.pid

[program:nodejs-server]
command=nodejs /root/server.js
autorestart=unexpected
stdout_logfile=/var/log/dockreg/http.stdout
stdout_logfile_maxbytes=1MB
stdout_logfile_backups=10
stderr_logfile=/var/log/dockreg/http.stderr
stderr_logfile_maxbytes=1MB
stderr_logfile_backups=10

[program:dockreg]
command=/usr/bin/dockreg --port 8000 --etcd http://%(ENV_ETCD_PORT_4001_TCP_ADDR)s:%(ENV_ETCD_PORT_4001_TCP_PORT)s --ip %(ENV_IP)s
autorestart=unexpected
stdout_logfile=/var/log/dockreg/dockreg.stdout
stdout_logfile_maxbytes=1MB
stdout_logfile_backups=10
stderr_logfile=/var/log/dockreg/dockreg.stderr
stderr_logfile_maxbytes=1MB
stderr_logfile_backups=10

是时间开始了，启动一个主机：

vagrant up host-1

在 boot 日志中，你将看到 Docker 容器的构建进程。在最后：

Successfully built a98722a9f44b

下一步，登陆进 VM：

vagrant ssh host-1

检查 etcd 容器是否在运行：

docker ps

你可以使用以下的地址访问 etcd ：http://10.1.0.101:4001/v2/machines

下一步，启动一个新的容器，运行 NodeJS app：

docker run -d -p 8000 -v /var/run/docker.sock:/var/run/docker.sock -e IP=10.1.0.101 --link etcd:etcd local/dockreg

当容器启动的时候，可以在 etcd 中看到注册：

curl http://10.1.0.101:4001/v2/keys/service

{
  "action": "get",
  "node": {
    "key": "/service",
    "dir": true,
    "nodes": [
      {
        "key": "/service/10.1.0.101:49155",
        "value": "running",
        "expiration": "2014-08-26T21:17:28.431730841Z",
        "ttl": 19,
        "modifiedIndex": 23,
        "createdIndex": 23
      }
    ],
    "modifiedIndex": 3,
    "createdIndex": 3
  }
}

在这个示例中，暴露的端口是 49155。

访问应用：

curl http://10.1.0.101:49155

Hello from 2d151d56f838

成功，下一步，启动第二个主机：

vagrant up host-2

一旦运行，检查已经加入到集群中的新的 etcd 的实例：

curl http://10.1.0.102:4001/v2/machines

http://10.1.0.101:4001, http://10.1.0.102:4001

检查已经复制的插入进 host-1 的 key：

curl http://10.1.0.102:4001/v2/keys/service

{
  "action": "get",
  "node": {
    "key": "/service",
    "dir": true,
    "nodes": [
      {
        "key": "/service/10.1.0.101:49155",
        "value": "running",
        "expiration": "2014-08-26T21:39:07.415916256Z",
        "ttl": 17,
        "modifiedIndex": 73,
        "createdIndex": 73
      }
    ],
    "modifiedIndex": 3,
    "createdIndex": 3
  }

现在，登陆 host-2 （vagrant ssh host-2），然后启动一个新的应用容器：

docker run -d -p 8000 -v /var/run/docker.sock:/var/run/docker.sock -e IP=10.1.0.102 --link etcd:etcd local/dockreg

http://10.1.0.101:4001/v2/keys/service 和 http://10.1.0.102:4001/v2/keys/service 现在可以显示运行在 host-2 上的新的实例（或许需要花一点时间用于应用启动）。

还需要一个新的？仅仅需要再一次运行前面的 docker run 命令。现在 etcd 包含 3 个实例。

为了测试取消登记，停止一个容器：

docker stop fdd27afacbbb

key 将立即从 etcd 中移除。

总结

在这个例子中，我们看到了一种把 Docker 容器注册进一个外部配置存储的方法。通过使用一个 sidekick 进程，服务注册完全独立于应用，并且它提供了更精确的监控。

达到这个目标的其他可选方案，The CoreOS project 提议了一份工具列表来简化注册和服务发现。

在下一篇文章中，我将描述基于 HAProxy 和 etcd 的服务发现。