Docker სერვისების აღმოჩენა და DNS

ყოვლისმომცველი გზამკვლევი Docker გარემოებში სერვისების აღმოჩენისა და DNS გადაწყვეტების დანერგვაზე ეფექტიანი კონტეინერული ქსელვின்თვის

დავით მაჭახელიძე
@devius

Docker-ში სერვისების აღმოჩენის გაცნობა

სერვისების აღმოჩენა წარმოადგენს კრიტიკულ საფუძველს კონტეინერებს შორის კომუნიკაციისთვის დინამიკურ Docker გარემოებში. როცა კონტეინერები ეშვება, ჩერდება და მასშტაბირდება, მათი ქსელური მდებარეობა მუდმივად იცვლება, რის გამოც საჭირო ხდება სერვისების პოვნის ავტომატიზებული მექანიზმები:

  • დინამიური ინფრასტრუქტურა: კონტეინერებმა ერთმანეთი იპოვონ hardcoded მისამართების გარეშე
  • ავტომატური განახლებები: კონტეინერის სიცოცხლის ციკლის ცვლილებების ასახვა რეალურ დროში
  • განაწილებული კოორდინაცია: სერვისების რეესტრების შენარჩუნება მრავალჰოსტიან გარემოებში
  • დატვირთვის დაბალანსება: ტრეფიკის განაწილება ერთი და იმავე სერვისის მრავალ ინსტანცაზე
  • ჯანმრთელობის შემოწმება: ტრეფიკის მარშრუტიზაცია მხოლოდ ჯანმრთელ კონტეინერ ინსტანცებზე

ეს გზამკვლევი მიმოიხილავს კონცეფციებს, ინსტრუმენტებს და იმპლემენტაციის პატერნებს Docker გარემოებში ეფექტური სერვისების აღმოჩენისა და DNS მართვისთვის, პრაქტიკული მაგალითებით, რომელთა დახმარებითაც შექმნით საიმედო კონტეინერულ ქსელურ გადაწყვეტებს.

სერვისების აღმოჩენის ფუნდამენტები

სერვისების რეესტრის პატერნები

სერვისების აღმოჩენის ბირთვში დგას სერვისების რეესტრი — ხელმისაწვდომი სერვის ინსტანციებისა და მათი მდებარეობის მონაცემთა ბაზა:

  1. Self-registration პატერნი: სერვისები საკუთარ თავს რეგისტრირებენ რეესტრში
  2. მესამე მხარის რეგისტრაცია: გარე აგენტი აღმოაჩენს სერვისებს და რეგისტრირებს მათ
  3. კლიენტის მხარის აღმოჩენა: კლიენტები უსვამენ კითხვას რეესტრს და ირჩევენ სერვისის ინსტანციებს
  4. სერვერის მხარის აღმოჩენა: Load balancer მიმართავს რეესტრს და როუთავს კლიენტის მოთხოვნებს

პატერნის არჩევანი გავლენას ახდენს სისტემის სირთულეზე, მედეგობაზე და წარმადობაზე.

DNS-ზე დაფუძნებული აღმოჩენა

DNS გვთავაზობს ნაცნობსა და სტანდარტიზებულ მიდგომას სერვისების აღმოჩენისთვის Docker გარემოებში:

# კონტეინერის გაშვება ქასთომ ჰოსთნეიმით
docker run -d --name web --hostname web.local nginx

# კონტეინერის გამოძახება მისი ჰოსთნეიმით
docker exec -it web ping web.local

Docker-ის ჩაშენებული DNS სერვერი ავტომატურად რეზოლვავს კონტეინერების სახელებს ერთსა და იმავე ქსელში, რაც უზრუნველყოფს სერვისების აღმოჩენის ბაზისურ შესაძლებლობებს დამატებითი კომპონენტების გარეშე.

Docker ქსელვა და სერვისების აღმოჩენა

Docker DNS რეზოლუცია

Docker-ის ჩაშენებული DNS რიზოლვერი კონტეინერებს აძლევს საშუალებას, სახელით იპოვონ ერთმანეთი:

კონტეინერის სახელის რეზოლუცია

Bridge ქსელში აღმოჩენა

ნაგულისხმევ bridge ქსელებს აქვთ შეზღუდული აღმოჩენის შესაძლებლობები:

# ნაგულისხმევი bridge — კონტეინერებს შორის DNS რეზოლუცია არ მუშაობს
docker run -d --name container1 nginx
docker run -d --name container2 nginx

# ეს ჩაიშლება — ნაგულისხმევ bridge-ზე კონტეინერის სახელები არ რეზოლვდება
docker exec -it container1 ping container2

მომხმარებლის მიერ განსაზღვრული bridge ქსელები რთავს სერვისების ავტომატურ აღმოჩენას:

# მომხმარებლის მიერ განსაზღვრული bridge ქსელის შექმნა
docker network create app-network

# არსებული კონტეინერების მიერთება ქსელზე
docker network connect app-network container1
docker network connect app-network container2

# ახლა DNS რეზოლუცია მუშაობს
docker exec -it container1 ping container2

მრავალჰოსტიანი ქსელვა

Docker Swarm რეჟიმი უზრუნველყოფს ჩაშენებულ სერვისების აღმოჩენას მრავალ ჰოსტზე:

# swarm-ის ინიციალიზაცია
docker swarm init --advertise-addr 192.168.1.10

# სერვისის გაშლა swarm-ზე
docker service create --name api --replicas 3 --network app-network myapp-api:latest

# სერვისი ხელმისაწვდომია სახელით app-network-ის ნებისმიერ კონტეინერიდან
docker exec -it client curl http://api:8080/

Docker Compose-ით სერვისების აღმოჩენა

ავტომატური DNS რეზოლუცია

Docker Compose აწყობს DNS რეზოლუციას იმ სერვისებს შორის, რომლებიც ერთსა და იმავე compose ფაილშია აღწერილი:

# docker-compose.yml
version: '3'
services:
  web:
    image: nginx:latest
    depends_on:
      - api
  
  api:
    image: myapp-api:latest
    depends_on:
      - database
  
  database:
    image: postgres:14
    environment:
      POSTGRES_PASSWORD: example

სერვისებს ერთმანეთის მიღწევა შეუძლიათ სერვისის სახელით:

# web კონტეინერის შიგნით
curl http://api:8000/

# api კონტეინერის შიგნით
psql -h database -U postgres

ქსელის კონფიგურაცია

Compose გაძლევთ საშუალებას დაარეგულიროთ სერვისების აღმოჩენა ქსელის კონფიგურაციით:

# docker-compose.yml ქასთომ ქსელვით
version: '3'
services:
  web:
    image: nginx:latest
    networks:
      - frontend
      - backend
  
  api:
    image: myapp-api:latest
    networks:
      - backend
  
  database:
    image: postgres:14
    networks:
      - backend
    environment:
      POSTGRES_PASSWORD: example

networks:
  frontend:
  backend:
  internal: true  # გარე კავშირი არ არის

ეს კონფიგურაცია:

  1. აცალკევებს მონაცემთა ბაზას გარე წვდომისგან
  2. აძლევს უფლებას web სერვისს კომუნიკაცია ჰქონდეს როგორც frontend-, ასევე backend-თან
  3. საშუალებას აძლევს API სერვისს backend ქსელზე დაუკავშირდეს ბაზას

გარე სერვისების აღმოჩენის ინსტრუმენტები

Consul

Consul უზრუნველყოფს ფუნქციებით მდიდარ სერვისების აღმოჩენის გადაწყვეტას განაწილებული key-value საცავით:

# Consul-ის docker-compose.yml
version: '3'
services:
  consul:
    image: consul:latest
    ports:
      - "8500:8500"
    command: agent -server -bootstrap-expect=1 -ui -client=0.0.0.0
    volumes:
      - consul-data:/consul/data

  service-registrator:
    image: gliderlabs/registrator:latest
    depends_on:
      - consul
    volumes:
      - /var/run/docker.sock:/tmp/docker.sock
    command: -internal consul://consul:8500

volumes:
  consul-data:

სერვისის რეგისტრაცია Consul-ის HTTP API-ით:

# სერვისის ხელით რეგისტრაცია
curl -X PUT -d '{
  "ID": "api-1",
  "Name": "api",
  "Address": "172.17.0.3",
  "Port": 8080,
  "Check": {
    "HTTP": "http://172.17.0.3:8080/health",
    "Interval": "10s"
  }
}' http://localhost:8500/v1/agent/service/register

etcd

etcd გვთავაზობს განაწილებულ key-value საცავს, რომელიც გამოდგება სერვისების აღმოჩენისთვის:

# etcd-სთვის docker-compose.yml
version: '3'
services:
  etcd:
    image: bitnami/etcd:latest
    environment:
      - ALLOW_NONE_AUTHENTICATION=yes
      - ETCD_ADVERTISE_CLIENT_URLS=http://etcd:2379
    ports:
      - "2379:2379"
    volumes:
      - etcd-data:/bitnami/etcd

volumes:
  etcd-data:

სერვისის რეგისტრაცია etcd-ით:

# სერვისის endpoint-ის რეგისტრაცია
docker exec -it etcd etcdctl put /services/api/node1 '{"host": "172.17.0.3", "port": 8080}'

# სერვისის endpoint-ების გამოთხოვა
docker exec -it etcd etcdctl get --prefix /services/api

CoreDNS

CoreDNS-ს შეუძლია Docker-ის DNS შესაძლებლობების გაფართოება ქასთომ პლაგინებითა და კონფიგურაციებით:

# CoreDNS-ის docker-compose.yml
version: '3'
services:
  coredns:
    image: coredns/coredns:latest
    ports:
      - "53:53/udp"
    volumes:
      - ./Corefile:/Corefile
    command: -conf /Corefile

შესაბამისი Corefile-ით:

.:53 {
    errors
    health
    ready
    hosts {
        172.17.0.3 api.service.local
        172.17.0.4 redis.service.local
        172.17.0.5 postgres.service.local
        fallthrough
    }
    forward . 8.8.8.8
    cache 30
    loop
    reload
}

Docker Swarm-ში სერვისების აღმოჩენა

Mesh ქსელვა

Docker Swarm ახორციელებს mesh ქსელს, რომელიც swarm სერვისებისთვის ავტომატურად უზრუნველყოფს სერვისების აღმოჩენას:

# Overlay ქსელის შექმნა
docker network create --driver overlay --attachable services

# სერვისის გაშლა ქსელზე
docker service create \
  --name api \
  --network services \
  --replicas 3 \
  myapp-api:latest

ყველა კონტეინერს შეუძლია სერვისთან სახელით (api) მიერთება, ხოლო Docker უზრუნველყოფს დატვირთვის დაბალანსებას სამ რეპლიკას შორის.

Virtual IP (VIP) რეჟიმი

Swarm თითო სერვისს უნიჭებს ვირტუალურ IP-ს გამჭვირვალე დატვირთვის დაბალანსებისთვის:

# სერვისის ინსპექტირება VIP-ის სანახავად
docker service inspect --format '{{json .Endpoint.VirtualIPs}}' api

კლიენტის მიერთება სერვისის სახელზე რეზოლვდება VIP-ზე, რომელიც ანაწილებს ტრეფიკს ყველა სერვისის ინსტანციაზე. ამისთვის კლიენტის მხარეს არ არის საჭირო დამატებითი კონფიგურაცია დატვირთვის დაბალანსებისთვის.

DNS Round Robin რეჟიმი

Swarm უჭერს მხარს DNS Round Robin-ს VIP რეჟიმის ალტერნატივად:

# DNS Round Robin-ით სერვისის შექმნა
docker service create \
  --name api \
  --network services \
  --endpoint-mode dnsrr \
  --replicas 3 \
  myapp-api:latest

DNS Round Robin-ისას:

  1. api-ზე DNS კითხვები აბრუნებს მრავალ A ჩანაწერს
  2. კლიენტებმა უნდა მართონ მიერთებები მრავალ IP-ზე
  3. დამატებითი ქსელური ჰოპი არ არის საჭირო (სხვადასხვა VIP რეჟიმისგან)

ქასთომ DNS გადაწყვეტები

Service Mesh-ები

Istio-ს მსგავსმა service mesh-ებმა DNS-ზე დაფუძნებული აღმოჩენა გააფართოვეს მოწინავე შესაძლებლობებით:

# Istio-ს დეპლოი ინტეგრირებული DNS-ით
istioctl install --set profile=demo

# სერვისის დეპლოი ჩართული service discovery-ით
kubectl apply -f - <<EOF
apiVersion: v1
kind: Service
metadata:
  name: api
  labels:
    app: api
spec:
  ports:
  - port: 80
    name: http
  selector:
    app: api
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: api
spec:
  replicas: 3
  selector:
    matchLabels:
      app: api
  template:
    metadata:
      labels:
        app: api
    spec:
      containers:
      - name: api
        image: myapp-api:latest
        ports:
        - containerPort: 80
EOF

Service mesh-ები აუმჯობესებენ სერვისების აღმოჩენას შემდეგით:

  1. მოწინავე დატვირთვის დაბალანსების ალგორითმები
  2. Circuit breaking და fault tolerance
  3. ტრაფიკის გადანაწილება და მოთხოვნების როუტინგი
  4. End-to-end დაშიფვრა

ქასთომ DNS სერვერები

რთულ სცენარებში, გამოყოფილ DNS სერვერებს შეუძლიათ Docker-ის ჩაშენებული აღმოჩენის გაძლიერება:

# Dnsmasq-ის docker-compose.yml
version: '3'
services:
  dnsmasq:
    image: jpillora/dnsmasq
    ports:
      - "53:53/udp"
    environment:
      - HTTP_USER=admin
      - HTTP_PASS=admin
    volumes:
      - ./dnsmasq.conf:/etc/dnsmasq.conf

შესაბამისი dnsmasq.conf-ით:

# dnsmasq.conf
address=/api.local/172.17.0.3
address=/database.local/172.17.0.4
address=/cache.local/172.17.0.5

ჯანმრთელობის შემოწმება და Circuit Breaking

სერვისების ჯანმრთელობის შემოწმებები

ეფექტური სერვისების აღმოჩენისთვის საჭიროა ჯანმრთელობის შემოწმება, რათა თავიდან ავირიდოთ ტრეფიკის მარშრუტიზაცია დაუჯანმრთელებელ ინსტანციებზე:

# Docker Compose ჯანმრთელობის შემოწმებებით
version: '3'
services:
  api:
    image: myapp-api:latest
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:8080/health"]
      interval: 30s
      timeout: 10s
      retries: 3
      start_period: 40s

Docker Swarm აერთიანებს ჯანმრთელობის შემოწმებებს service discovery-სთან:

# სერვისის შექმნა ჯანმრთელობის შემოწმებით
docker service create \
  --name api \
  --health-cmd "curl -f http://localhost:8080/health || exit 1" \
  --health-interval 30s \
  --replicas 3 \
  myapp-api:latest

კლიენტის მხარის Circuit Breaking

Circuit breaker-ები თავიდან გვაცილებს კასკადურ შეცდომებს, როცა სერვისები მიუწვდომელია:

// Circuit Breaking-ის მაგალითი Go-ში resilience4j-ის გამოყენებით
import (
    "github.com/eapache/go-resiliency/breaker"
    "time"
    "net/http"
)

func main() {
  // Circuit breaker, რომელიც ჩაირთვება 5 ზედიზედ შეცდომის შემდეგ
  // და 10 წამში დაბრუნდება საწყის მდგომარეობაში
    cb := breaker.New(5, 1, 10*time.Second)
    
    err := cb.Run(func() error {
        resp, err := http.Get("http://api:8080/endpoint")
        if err != nil {
            return err
        }
        defer resp.Body.Close()
        if resp.StatusCode >= 500 {
            return fmt.Errorf("server error: %d", resp.StatusCode)
        }
        return nil
    })
    
    if err != nil {
  // შეცდომის დამუშავება ან გახსნილი ციკლის მდგომარეობა
    }
}

უსაფრთხოების ასპექტები

ქსელის სეგმენტაცია

Service discovery უნდა განხორციელდეს უსაფრთხოების საზღვრების დაცვით:

# docker-compose.yml ქსელის სეგმენტაციით
version: '3'
services:
  frontend:
    image: myapp-frontend:latest
    networks:
      - frontend
      - services
  
  api:
    image: myapp-api:latest
    networks:
      - services
      - data
  
  database:
    image: postgres:14
    networks:
      - data
    environment:
      POSTGRES_PASSWORD: example

networks:
  frontend:
    driver: bridge
  services:
    driver: bridge
    internal: false
  data:
    driver: bridge
  internal: true  # გარე წვდომა არ არის

ეს კონფიგურაცია:

  1. ბაზას აცალკევებს შიდა ქსელზე
  2. უშლის ხელს frontend-ის პირდაპირ წვდომას ბაზაზე
  3. API-ს აძლევს შესაძლებლობას დაამიჯნო frontend და ბაზა

Service Discovery-ის ავთენტიკაცია

დააზღვიეთ თქვენი service discovery სისტემა ავთენტიკაციით:

# Consul-ის docker-compose.yml ACL-ებით
version: '3'
services:
  consul:
    image: consul:latest
    ports:
      - "8500:8500"
    command: agent -server -bootstrap-expect=1 -ui -client=0.0.0.0 -acl-enable
    environment:
      - CONSUL_HTTP_TOKEN=your-master-token
    volumes:
      - ./consul-acl.json:/consul/config/acl.json

შესაბამისი ACL კონფიგურაციით:

// consul-acl.json
{
  "acl": {
    "enabled": true,
    "default_policy": "deny",
    "down_policy": "extend-cache",
    "tokens": {
      "master": "your-master-token"
    }
  }
}

TLS სერვისებს შორის კომუნიკაციისთვის

დააზღვიეთ სერვისებს შორის კომუნიკაცია TLS-ით:

# docker-compose.yml TLS კონფიგურაციით
version: '3'
services:
  api:
    image: myapp-api:latest
    volumes:
      - ./certs:/certs
    environment:
      - SSL_CERT_FILE=/certs/server.crt
      - SSL_KEY_FILE=/certs/server.key
      - SSL_CA_FILE=/certs/ca.crt

მონიტორინგი და გაუმართაობის დიაგნოსტიკა

Service Discovery-ის მონიტორინგი

დაამონიტორინგეთ თქვენი service discovery სისტემა საიმედოობის უზრუნველსაყოფად:

# Consul კლასტერის ჯანმრთელობის შემოწმება
curl http://localhost:8500/v1/health/service/consul

# სერვისის რეგისტრაციის გადამოწმება
curl http://localhost:8500/v1/catalog/service/api

# DNS რეზოლუციის შემოწმება
dig @127.0.0.1 -p 8600 api.service.consul SRV

გავრცელებული დიაგნოსტიკის მეთოდები

როდესაც service discovery-ს პრობლემები ჩნდება:

  1. Verify network connectivity:
    docker exec -it container1 ping container2
  2. DNS რეზოლუციის შემოწმება:
    docker exec -it container1 nslookup service-name
  3. ქსელის კონფიგურაციის ინსპექტირება:
    docker network inspect app-network
  4. Service discovery-ის ლოგების ნახვა:
    docker logs consul
  5. ტესტირება პირდაპირი IP-მისამართით:
    docker exec -it container1 curl http://172.17.0.3:8080/

საუკეთესო პრაქტიკები

დიზაინის პატერნები

ეფექტური service discovery იმპლემენტაციები მიჰყვება შემდეგ პატერნებს:

  1. სერვისის აბსტრაქცია: კლიენტმა იმუშაოს სერვისის სახელებით, არა ინსტანციებით
  2. Self-healing: რეგისტრაცია/დერეგისტრაცია უნდა იყოს ავტომატური
  3. გარემოზე მგრძნობიარე: კონფიგურაცია ერგებოდეს dev/test/prod გარემოს
  4. დეგრადაციის მედეგობა: სისტემამ ღირსეულად მოიქცეს აღმოჩენის გათიშვებისას
  5. ქეშირებული მოძებნა: კლიენტებმა დაკეშონ შედეგები წარმადობის გასაუმჯობესებლად

რეკომენდაციები პროდაქშენისთვის

პროდაქშენ გარემოებისთვის:

  1. განაწილებული რეესტრი: განთავსეთ service discovery მაღალი ხელმისაწვდომობით
  2. ავტომატური სინქი: შეინარჩუნეთ რეესტრების სინქრონიზაცია data center-ებს შორის
  3. TTL-ზე დაფუძნებული გაწმენდა: ავტომატურად წაშალეთ მოძველებული რეგისტრაციები
  4. მონიტორინგის ინტეგრაცია: დაალერტეთ service discovery-ის პრობლემებზე
  5. დოკუმენტაცია: შეინარჩუნეთ endpoints-ებისა და დამოკიდებულებების მკაფიო დოკუმენტაცია

დასკვნა

ეფექტური service discovery და DNS მართვა წარმოადგენს Docker გარემოებში საიმედო კონტეინერული ქსელვის ხერხემალს. ამ გზამკვლევში აღწერილი პატერნებისა და ინსტრუმენტების დანერგვით, შეგიძლიათ შექმნათ დინამიკური და მასშტაბირებადი სისტემები, სადაც კონტეინერები მარტივად პოულობენ და ურთიერთობენ ერთმანეთთან, მათ შორის მრავალ ჰოსტსა და გარემოში მასშტაბირებისასაც.

დაიმახსოვრეთ: იყენებთ თუ არა Docker-ის ჩაშენებულ DNS შესაძლებლობებს, Docker Compose ქსელებს, Swarm-ის service discovery-ს, ან გარე ინსტრუმენტებს, როგორიცაა Consul და etcd — პრინციპები უცვლელია: გააბსტრაქტეთ სერვისის მდებარეობები, ავტომატიზეთ რეგისტრაცია და აღმოჩენა და ააშენეთ მედეგი სისტემები, რომლებიც ერგება კონტეინერიზებული გარემოების დინამიკურ ბუნებას.

Docker-ის დაკვირვებადობის (Observability) პლატფორმები
ყოვლისმომცველი გზამკვლევი Docker გარემოებში დაკვირვებადობის (observability) გადაწყვეტების დანერგვაზე თანამედროვე მონიტორინგის, ლოგირების და თრეისინგის ინსტრუმენტებით
Docker საიდუმლოებების (Secrets) მართვა
ყოვლისმომცველი გზამკვლევი Docker გარემოებში მგრძნობიარე მონაცემების დაცვაზე, საიდუმლოებების მართვის საუკეთესო პრაქტიკებისა და ინსტრუმენტების გამოყენებით