Store configuration data using Docker Configs 使用Docker Configs存储配置数据
Docker 17.06引入了集群服务配置,允许你在服务镜像或运行的容器之外存储非敏感信息,如配置文件。这允许你尽可能保持镜像的通用性,而不需要将配置文件绑定到容器中或使用环境变量。
Configs的操作方式与secret类似,不同的是它们没有在静止时加密,而是直接挂载到容器的文件系统中,而不使用RAM磁盘。配置可以在任何时候从服务中添加或删除,服务可以共享配置。你甚至可以将configs与环境变量或标签结合使用,以获得最大的灵活性。配置值可以是通用字符串或二进制内容(大小不超过500 kb)。
注意:Docker configs只对集群服务可用,而不是对独立容器可用。要使用此特性,请考虑将容器调整为以1的比例作为服务运行。
Linux和Windows服务都支持Configs。
Windows support
Docker 17.06及更高版本包括对Windows容器上的configs的支持。在实现中存在差异的地方,将在下面的示例中调用它们。请注意以下显著的差异:
- 带有自定义目标的配置文件不直接绑定挂载到Windows容器中,因为Windows不支持非目录文件绑定挂载。相反,容器的configs都挂载在容器内的C:ProgramDataDockerinternalconfigs(一个应用程序不应该依赖的实现细节)中。符号链接用于从那里指向容器中配置所需的目标。默认目标是C:ProgramDataDockerconfigs。
- 在创建使用Windows容器的服务时,configs不支持指定UID、GID和模式的选项。Configs目前只能由容器内具有系统访问权限的管理员和用户访问。
How Docker manages configs Docker如何管理配置
当你向swarm添加配置时,Docker通过一个相互的TLS连接将配置发送给swarm manager。配置存储在Raft日志中,该日志是加密的。整个Raft日志在其他管理器之间复制,确保configs具有与群管理数据的其他部分相同的高可用性保证。
当你授予新创建或正在运行的服务访问权限到配置中时,配置将作为文件挂载在容器中。在Linux容器中,容器中挂载点的位置默认为/<config-name>。在Windows容器中,configs全部挂载到C:ProgramDataDockerconfigs和创建到所需位置的符号链接,默认为C:<config-name>。
可以使用数字ID或用户或组的名称设置所有权(uid和gid)或配置。还可以指定文件权限(模式)。对于Windows容器,这些设置将被忽略。
- 如果没有设置,则配置由运行容器命令的用户(通常是根用户)和该用户的默认组(通常也是根用户)拥有。
- 如果没有设置,配置具有世界可读权限(模式0444),除非在容器中设置了umask,在这种情况下,模式会受到umask值的影响。
你可以更新服务来授予它对其他配置的访问权限,或者随时撤销它对给定配置的访问权限。
只有当节点是群集管理器或正在运行已被授予配置访问权的服务任务时,节点才能访问配置。当容器任务停止运行时,共享给它的配置将从容器的内存文件系统中卸载,并从节点的内存中刷新。
如果节点在运行具有配置访问权的任务容器时失去了与集群的连接,那么任务容器仍然可以访问其配置,但是在节点重新连接到集群之前不能接收更新。
你可以在任何时候添加或检查单个配置,或者列出所有配置。无法删除正在运行的服务正在使用的配置。有关在不中断正在运行的服务的情况下删除配置的方法,请参见 Rotate a config。
为了更容易地更新或回滚配置,可以考虑在配置名中添加版本号或日期。通过在给定容器中控制配置的挂载点,可以更容易地做到这一点。
要更新堆栈,请更改你的 Compose文件,然后重新运行docker stack deploy -c <new-compose-file> <stack-name>。如果在该文件中使用新配置,则服务将开始使用它们。请记住,配置是不可变的,因此你不能更改现有服务的文件。相反,你可以创建一个新的配置来使用不同的文件
你可以运行docker stack rm来停止应用程序并取下堆栈。这将删除docker stack deploy创建的具有相同堆栈名称的任何配置。这将删除所有配置,包括那些没有被服务引用的配置,以及docker service update --config-rm之后剩下的配置。
Read more about docker config commands
使用这些链接可以阅读有关特定命令的信息,或者继续阅读example about using configs with a service。
Examples
这一节包含了演示如何使用Docker configs的分级示例。
注意:为了简单起见,这些示例使用单引擎集群和未扩展的服务。示例使用Linux容器,但Windows容器也支持configs。
Defining and using configs in compose files 定义和使用compose文件中的配置
docker compose和docker stack命令都支持在compose文件中定义配置。有关详细信息,请参见the Compose file reference。
Simple example: Get started with configs 开始配置
这个简单的例子展示了configs如何在几个命令中工作。对于真实的示例,请继续Intermediate example: Use configs with a Nginx service。
1.向Docker添加配置。docker config create命令读取标准输入,因为最后一个参数,表示要从中读取配置的文件被设置为-。
$ echo "This is a config" | docker config create my-config -
2.创建一个redis服务并授予它对配置的访问权。默认情况下,容器可以在/my-config访问配置,但是你可以使用target选项定制容器上的文件名。
$ docker service create --name redis --config my-config redis:alpine
3.使用docker service ps检查任务是否正常运行。如果一切正常,输出如下:
$ docker service ps redis ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS bkna6bpn8r1a redis.1 redis:alpine ip-172-31-46-109 Running Running 8 seconds ago
4.使用docker ps得到redis服务任务容器的ID,这样你可以使用docker container exec去连接到容器和读取配置数据文件的内容,对所有人默认为可读的,并有着像配置名一样相同的名字。下面的第一个命令演示了如何查找容器ID,第二个和第三个命令使用shell补全来自动查找容器ID。
$ docker ps --filter name=redis -q 5cb1c2348a59 $ docker container exec $(docker ps --filter name=redis -q) ls -l /my-config -r--r--r-- 1 root root 12 Jun 5 20:49 my-config $ docker container exec $(docker ps --filter name=redis -q) cat /my-config This is a config
5.尝试移除配置。移除失败是因为redis服务正在运行且正在访问配置
$ docker config ls ID NAME CREATED UPDATED fzwcfuqjkvo5foqu7ts7ls578 hello 31 minutes ago 31 minutes ago $ docker config rm my-config Error response from daemon: rpc error: code = 3 desc = config 'my-config' is in use by the following service: redis
6.通过更新服务来从运行中的redis中移除对配置的访问:
$ docker service update --config-rm my-config redis
7.再次重复步骤3和4,查看服务不再访问配置。容器ID是不同的,因为service update命令重新部署了服务
$ docker container exec -it $(docker ps --filter name=redis -q) cat /my-config cat: can't open '/my-config': No such file or directory
8.停止并移除服务,并从Docker中移除配置
$ docker service rm redis
$ docker config rm my-config
Advanced example: Use configs with a Nginx service
本例分为两部分。第一部分是关于生成站点证书的,根本不直接涉及Docker configs,但是它设置了第二部分,在其中存储和使用站点证书作为一系列密钥,Nginx配置作为配置。这个示例展示了如何在配置上设置选项,例如容器中的目标位置和文件权限(模式)。
GENERATE THE SITE CERTIFICATE生成站点证书
为你的站点生成根CA和TLS证书和密钥。对于生产站点,你可能希望使用Let’s Encrypt之类的服务来生成TLS证书和密钥,但是本示例使用命令行工具。这一步有点复杂,但只是一个设置步骤,以便你可以将某些内容存储为Docker秘密。如果你想跳过这些子步骤,可以使用 use Let’s Encrypt生成站点密钥和证书,命名文件为site.key和site.crt,然后跳转到 Configure the Nginx container。
1.生成一个根密钥:
$ openssl genrsa -out "root-ca.key" 4096
2.使用根密钥生成一个CSR:
$ openssl req -new -key "root-ca.key" -out "root-ca.csr" -sha256 -subj '/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA'
3.配置根CA.编辑一个名为root-ca.cnf的新文件,并将以下内容粘贴到其中。这限制根CA只签名叶证书,而不签名中间CA。
[root_ca] basicConstraints = critical,CA:TRUE,pathlen:1 keyUsage = critical, nonRepudiation, cRLSign, keyCertSign subjectKeyIdentifier=hash
4.签名证书
$ openssl x509 -req -days 3650 -in "root-ca.csr" -signkey "root-ca.key" -sha256 -out "root-ca.crt" -extfile "root-ca.cnf" -extensions root_ca
5.生成站点密钥
$ openssl genrsa -out "site.key" 4096
6.生成站点证书并使用站点密钥签名
$ openssl req -new -key "site.key" -out "site.csr" -sha256 -subj '/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost'
7.配置站点证书。编辑一个名为site.cnf的新文件,并将以下内容粘贴到其中。这限制了站点证书,因此它只能用于对服务器进行身份验证,而不能用于对证书进行签名。
[server] authorityKeyIdentifier=keyid,issuer basicConstraints = critical,CA:FALSE extendedKeyUsage=serverAuth keyUsage = critical, digitalSignature, keyEncipherment subjectAltName = DNS:localhost, IP:127.0.0.1 subjectKeyIdentifier=hash
8.对站点证书签名
$ openssl x509 -req -days 750 -in "site.csr" -sha256 -CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial -out "site.crt" -extfile "site.cnf" -extensions server
9.site.csr和site.cnf文件不被Nginx服务需要,但是如果你想生成一个新的站点证书,则需要它们。保护root-ca.key文件。
CONFIGURE THE NGINX CONTAINER 配置Ngnix容器
1.生成一个非常基本的Nginx配置,它通过HTTPS提供静态文件。TLS证书和密钥存储为Docker密钥,这样可以方便地轮转它们。
在当前目录中,创建一个带着下面内容的名为site.conf的新文件
server { listen 443 ssl; server_name localhost; ssl_certificate /run/secrets/site.crt; ssl_certificate_key /run/secrets/site.key; location / { root /usr/share/nginx/html; index index.html index.htm; } }
2.创建两个秘密,分别表示密钥和证书。你可以将任何文件作为秘密存储,只要它小于500kb。这允许你将密钥和证书与使用它们的服务解耦。在这些示例中,密钥名称和文件名是相同的。
$ docker secret create site.key site.key
$ docker secret create site.crt site.crt
3.在Docker配置中保存site.conf文件。第一个参数是配置的名称,第二个参数是要从中读取配置的文件。
$ docker config create site.conf site.conf
列举配置信息:
$ docker config ls ID NAME CREATED UPDATED 4ory233120ccg7biwvy11gl5z site.conf 4 seconds ago 4 seconds ago
4.创建一个运行Nginx的服务,并且可以访问这两个秘密和配置。将模式设置为0440,这样文件只能由其所有者和该所有者的组(而不是整个世界)读取。
$ docker service create --name nginx --secret site.key --secret site.crt --config source=site.conf,target=/etc/nginx/conf.d/site.conf,mode=0440 --publish published=3000,target=443 nginx:latest sh -c "exec nginx -g 'daemon off;'"
在运行的容器中,下面的三个文件将存在:
/run/secrets/site.key/run/secrets/site.crt/etc/nginx/conf.d/site.conf
5.核查Ngnix服务正在运行
$ docker service ls ID NAME MODE REPLICAS IMAGE zeskcec62q24 nginx replicated 1/1 nginx:latest $ docker service ps nginx NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS nginx.1.9ls3yo9ugcls nginx:latest moby Running Running 3 minutes ago
6.核查服务是可操作的:你可以到达Ngnix服务端,并且正确的TLS证书正在被使用
$ curl --cacert root-ca.crt https://0.0.0.0:3000 <!DOCTYPE html> <html> <head> <title>Welcome to nginx!</title> <style> body { 35em; margin: 0 auto; font-family: Tahoma, Verdana, Arial, sans-serif; } </style> </head> <body> <h1>Welcome to nginx!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p> <p>For online documentation and support, refer to <a href="http://nginx.org/">nginx.org</a>.<br/> Commercial support is available at <a href="http://nginx.com/">nginx.com</a>.</p> <p><em>Thank you for using nginx.</em></p> </body> </html>
$ openssl s_client -connect 0.0.0.0:3000 -CAfile root-ca.crt CONNECTED(00000003) depth=1 /C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA verify return:1 depth=0 /C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost verify return:1 --- Certificate chain 0 s:/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost i:/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA --- Server certificate -----BEGIN CERTIFICATE----- … -----END CERTIFICATE----- subject=/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost issuer=/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA --- No client certificate CA names sent --- SSL handshake has read 1663 bytes and written 712 bytes --- New, TLSv1/SSLv3, Cipher is AES256-SHA Server public key is 4096 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : AES256-SHA Session-ID: A1A8BF35549C5715648A12FD7B7E3D861539316B03440187D9DA6C2E48822853 Session-ID-ctx: Master-Key: F39D1B12274BA16D3A906F390A61438221E381952E9E1E05D3DD784F0135FB81353DA38C6D5C021CB926E844DFC49FC4 Key-Arg : None Start Time: 1481685096 Timeout : 300 (sec) Verify return code: 0 (ok)
7.除非你打算继续下一个示例,否则在运行此示例之后,请通过删除nginx服务以及存储的secrets和配置来清理。
$ docker service rm nginx
$ docker secret rm site.crt site.key
$ docker config rm site.conf
现在你已经配置了一个Nginx服务,它的配置与其镜像解耦。你可以运行具有完全相同的镜像但配置不同的多个站点,根本不需要构建自定义镜像。
Example: Rotate a config 轮转配置
要轮转配置,首先要用与当前使用的配置名称不同的名称保存新配置。然后重新部署服务,删除旧配置并在容器中的相同挂载点添加新配置。这个示例是在上一个示例的基础上轮转site.conf配置文件。
1.本地编辑site.conf文件。添加index.php到index行并保存该文件
server { listen 443 ssl; server_name localhost; ssl_certificate /run/secrets/site.crt; ssl_certificate_key /run/secrets/site.key; location / { root /usr/share/nginx/html; index index.html index.htm index.php; } }
2.使用site.conf创建一个新Docker配置,命名为site-v2.conf
$ docker config create site-v2.conf site.conf
3.更新Ngnix服务去使用一个新的配置,而不是旧的那个
$ docker service update --config-rm site.conf --config-add source=site-v2.conf,target=/etc/nginx/conf.d/site.conf,mode=0440 nginx
4.使用docker service ps nginx核查Ngnix服务完全重新部署。当确定时,你就可以移除旧的site.conf配置了
$ docker config rm site.conf
5.为了清理,你可以移除Ngnix服务和密钥和配置
$ docker service rm nginx
$ docker secret rm site.crt site.key
$ docker config rm site-v2.conf
现在你可以更新ngnix服务配置而不用重新构建镜像