Docker Zero Deployment and Secrets (二)

一. 健康检测：

(1)定义检测信息如下（案例，在Dockerfile中定义）

FROM alpine:3.6

...

HEALTHCHECK --interval=30s \
     --timeout=10s
     --retries=3
     --start-period=60s
     CMD curl -f http://localhost:3000/health || exit 1

...

（2）定义检测信息（案例，在Stackfile中定义）

version: "3.5"

services:
   web:
     image: example/web:1.0
     healthcheck:
       test: ["CMD", "curl", "-f", "http://localhost:3000/health"]
       interval: 30s
       timeout: 10s
       retries: 3
       start_period: 60s

...

2. 案例1

（1）创建stack-health.yaml文件内容如下：

version: "3.5"

services:
   web:
     image: nginx:alpine
     healthcheck:
       test: ["CMD", "wget", "-qO", "-", "http://localhost"]
       interval: 5s
       timeout: 2s
       retries: 3
       start_period: 15s

（2）进行部署

xiodi@c720131:~/docker$ sudo docker stack deploy -c stack-health.yaml myapp

[sudo] password for xiodi:

Creating network myapp_default

Creating service myapp_web

(3) 查看服务所运行在哪个节点上

xiodi@c720131:~/docker$ sudo docker stack ps myapp

ID                  NAME                IMAGE               NODE                DESIRED STATE       CURRENT STATE                ERROR               PORTS

rrjsvx4ox1j4        myapp_web.1         nginx:alpine        ubuntu              Running             Running about a minute ago

（4）在服务运行的节点查看容器状态，可以看到我们创建的服务所在的容器后面的状态有(healthy)

二. Rollback (回退)

1. stack-rollback.yaml文件内容如下， 相比之前的部署应用，此次多了failure_action:rollback 和monitor: 10s选项。

version: "3.5"

services:
   web:
     image: nginx:1.12-alpine
     ports:
       - 80:80
     deploy:
       replicas: 10
       update_config:
         parallelism: 2
         delay: 10s

failure_action: rollback
         monitor: 10s

healthcheck:
       test: ["CMD", "wget", "-qO", "-", "http://localhost"]
       interval: 2s
       timeout: 2s
       retries: 3
       start_period: 2s

2. 第1步文件定义了，rolling update的详细信息、健康检测、和回退的行为。

并定义了在检测多少秒后，认为不健康，开始回退。

三.  Blue-green deployment

简单的可以这样理解，前端使用一个负载均衡器，当更新时，将worker1置于失效状态，将所有服务都转发于worker2.

当worker更新完成后，进行上线，将所有服务都转发到worker1;再将worker2置于失效状态，进行更新。如下图所示：

四. Canary releases

该方法更新可以看成rolling update的一个变种，它是先更新一小部分服务器，然后将百分之10%的客户流量引入到新更新的服务器，如果没有问题，再渐渐的加大客户的流量 。直到完全切换完成。

五. 密钥

1. 创建密钥

（1）使用命令创建密钥

root@c720131:~# echo "sample secret value" | docker secret create sample-secret -

8mv1d8emvauy4zfnip807tbx1

（2）使用文件来创建密钥

root@c720131:~# docker secret create other-secret ~/my-secrets/secret-value.txt

1jvidw2ilzq3a2mh9goaobvg2

（3）列出所有密钥

root@c720131:~# docker secret ls

ID                          NAME                DRIVER              CREATED             UPDATED

1jvidw2ilzq3a2mh9goaobvg2   other-secret                            40 seconds ago      40 seconds ago

8mv1d8emvauy4zfnip807tbx1   sample-secret                           2 minutes ago       2 minutes ago

（4）检查密钥的详细信息

root@c720131:~# docker secret inspect other-secret

[
     {
         "ID": "1jvidw2ilzq3a2mh9goaobvg2",
         "Version": {
             "Index": 252
         },
         "CreatedAt": "2018-06-06T15:01:35.150023544Z",
         "UpdatedAt": "2018-06-06T15:01:35.150023544Z",
         "Spec": {
             "Name": "other-secret",
             "Labels": {}
         }
     }

]

2. 使用密钥

（1）创建一个服务，并关联一个密钥给它

root@c720131:~# docker service create --name web \

> --secret api-secret-key \

> --publish 8000:8000 \

> fundamentalsofdocker/whoami:latest

secret not found: api-secret-key

从上面报错信息看到，由于我们提前没有创建api-secret-key 密钥，所以报错。

（2）创建一个所需的密钥

root@c720131:~# echo "my secret key" | docker secret create api-secret-key -

umrr30un8bixwt1iq2aevw3xx

(3） 再次执行创建服务并关联密钥

root@c720131:~# docker service create --name web --secret api-secret-key --publish 8000:8000 fundamentalsofdocker/whoami:latest

vfwjk0nt1sg8i65w1w7rgfgj7

overall progress: 1 out of 1 tasks

1/1: running   [==================================================>]

verify: Service converged

（4）可以在服务所在的容器查看密钥信息

xiodi@c720132:~$ sudo docker container exec -it afd89b8000e0 cat /run/secrets/api-secret-key

my secret key

（5）假如想要改密钥挂载在容器中的位置，可以通过以下方式进行更改。

root@c720131:~# docker service create --name web --name web -p 8000:8000 --secret source=api-secret-key,target=/run/my-secrets/api-secret-key fundamentalsofdocker/whoami:latest

cz7edxdfeggyw5nx9e2ws0k1m

overall progress: 1 out of 1 tasks

1/1: running   [==================================================>]

verify: Service converged

3. 更新密钥（改变密钥）

（1）创建密钥

root@c720131:~# echo "newPass0rD" | docker secret create db-password-v2 -

nj3kwya8bc25kgm2sjz2d647r

（2）原先的服务创建时如下所示：使用的密钥是db-passwd

root@c720131:~# docker service create --name web --publish 80:80 --secret db-password nginx:alpine

pqetnrds6mr1n63abz3qz81im

overall progress: 1 out of 1 tasks

1/1: running   [==================================================>]

verify: Service converged

（3）删除老的密钥

root@c720131:~# docker service update --secret-rm db-password web

web

overall progress: 1 out of 1 tasks

1/1: running   [==================================================>]

verify: Service converged

（4）添加新的密钥

root@c720131:~# docker service update \

> --secret-add source=db-password-v2,target=db-password \

> web

web

overall progress: 1 out of 1 tasks

1/1: running   [==================================================>]

verify: Service converge