容器技术现在发展的如火如荼,包括微软也会在下一代操作系统中提供原生支持,个人认为微软的优势在于其拥有成熟的集群工作环境(Nano Server)以及成熟的管理平台(System Center),除此之外还有一系列围绕容器的生态链,比如自动化(PowerShell DSC),比如监控,比如生命周期管理等等。当然目前如果想在Win平台上体验容器的话,除了Docker提供的boot2docker,最“土”的办法就是在Hyper-V里创建一台Linux虚拟机,然后去部署并使用Docker环境。那么还有没有一些方便快捷的方法呢?或者对于开源平台的运维人员来说,可否在公有云中可以快速的交付出一个Docker环境来,其实这正是Azure目前所支持的。说到这里就不得不提一下Docker的架构:
#################################################################
Docker是C/S架构的,主要由client、daemon、registry构成,其中registry用于管理镜像(image),而container则是生于镜像之上,更多有关docker的基础概念我就不在这里耍大刀了,毕竟也是才接触容器没多久:) 这里主要关注一下client(客户端)与daemon(服务端也叫守护进程),daemon用来接收从client发来的指令然后进行处理,所以说通常都是在本地调用(通过unix socket),当然docker是支持远程调用的(通过TLS),也就是我本地只要有docker client(可以简单理解client就是docker.exe,或者是你直观看到的那个CLI console)就能够向远程的daemon端(可以简单理解daemon就是docker的后台服务进程)发起指令,比如pull或build一个镜像,构建自己的dockerfile等等所有操作。
##############################################################
想在Azure上体验docker daemon模式就需要用到azure vm扩展,之前博文提到过几类实用的扩展程序,比如BGinfo,比如DSC等等,这次就会提到Docker extension,目前在azure global版本的新门户中(预览版)可以看到,当然要想在azure上快速的获取一个docker daemon交付还是需要一些准备工作的,首先要有一台支持docker相应版本的虚拟机,这里以目前流行的也是推荐的ubuntu 14.04 LTS为例,我在创建虚拟机时使用了SSH公钥认证方式(出于安全性和便捷性考虑建议大家选择这种方式),如下图:
新门户还是比较炫的,但是内容太多难免让人需要花时间去适应,可以看到当前ubuntu虚拟机正在创建中,如下图:
这台叫做dockertemp的ubuntu虚拟机创建好之后,可以快速的浏览相关信息,比如dns名称,IP地址信息等等,如下图:
通过本地的xshell登陆之后确认版本为14.04.2 LTS,接下来就该在这台机器上准备docker daemon环境了
一般来讲,可以在这台机器上完全手动的去安装docker,然后修改docker的启动方式是daemon模式,并指定tls所需的证书,不过为了省事或者是面向新手,Azure的docker扩展程序就是来帮助你完成这些工作,不过前面提到因为远程调用不再使用unix socket而是基于tls加密所以还需要证书,下图中是我另外一台vm已经配置好的截图,在~/.docker目录下有六个.pem文件是我们接下来要创建的,说白了是“三对密钥”,它们分别是ca密钥对(ca-key.pem/ca.pem),服务器密钥对(server-key.pem/server-cert.pem)以及客户端密钥对(key.pem/cert.pem);所有的证书准备工作可以完全参考docker官方说明文档来操作,链接:http://docs.docker.com/articles/https/
回到刚才创建好的dockertemp这台虚拟机,一步一步来创建所需要的证书和密钥文件,使用openssl生成ca证书,并且注意FQDN要与dockertemp这台虚拟机所在的云服务名称一致,如下图:
接下来准备服务器证书,期间需要生成一个请求文件,创建如下图:
最后是客户端证书,如下图:
由于目前Azure只认base64编码,因此要把服务端的三个证书格式转换一下,它们分别是ca.pem/server-cert.pem/server-key.pem,剩下三个key用来本地docker client使用,如下图:
把需要上传到Azure的三个证书下载到本地,也可以全部下载,如下图:
##################################################################
上文中对TLS加密认证所需要的文件进行了准备,接下来就是傻瓜的下一步下一步了~首先对dockertemp这台虚拟机安装docker扩展,如下图:
可以看到几个可用扩展,新门户中很多操作都可以通过图形化界面来进行方便了许多,这里可以看到docker扩展的作用,它会安装docker daemon服务并接受来自远程client的请求,如下图:
此时需要提供相应的证书,这里把刚才下载的证书ca64.pem/server-cert64.pem/server-key64.pem上传,然后Azure提供了默认的daemon模式端口4243,如果有需要可以在这里修改,确认无误后就能够进行扩展程序的安装了,如下图:
等待一会时间会获得成功提示,新门户的通知中心还是比较美观的,如下图:
接下来还需要手动为dockertemp这台虚拟机开发一个4243的端点(端口映射),如下图:
此时回到虚拟机详情,查看扩展程序状态,当前的docker extension status显示success,如下图:
#####################################################################
到此为止Azure上的docker daemon模式就启用了,只要你本地有docker client并配合一致的密钥对就可以使用TLS加密认证与云端的docker daemon进行交互了,我在本地先把client需要的证书下载(不需要转换成base64),如下图:
我的客户端就用boot2docker来演示,从桌面或者开始菜单启动boot2docker start,此时它就是client,如下图显示默认的证书存放路径是红框部分,那么我就把上文中下载的三个证书拷贝到这里
此时还需要注意DOCKER_TLS_VERIFY是否为“1”,若不是的话用export修改一下即可,另外还要使用export指定HOST路径,这里就是我Azure上dockertemp的云服务名称加端口,如下图:
配置好之后直接运行docker info,显示的是Azure上dockertemp(基本A1规格)的信息,1颗vCPU,1.7GB内存,且名称确认无误,证明当前成功的连接上了远端docker daemon,如下图:
接下来就直接给daemon发号施令吧,例如可以search一下镜像名称,如下图:
或者干脆pull一个ubunut镜像到本地,如下图:
这里我做一个非常非常简单的demo,从本地通过TLS连接Azure上的daemon并创建一个分布式的容器应用(这里以大家耳熟能详的wordpress为例);首先下载两个镜像,分别是wordpress与mysql,如下图:
基于mysql创建一个容器,名为mysql_wordpress,指定mysql的root密码,并使用-d作为后台常驻运行;另外再基于wordpress镜像创建一个容器名为wordpress_demo,使用--link参数链接到已存在的mysql_wordpress容器,并将容器内部80端口映射到外部,同样使用-d做后台运行,完成之后通过docker ps显示两个容器正常运行,如下图:
接下来将dockertemp虚拟机创建一个新端点,就是把80端口发布出来以便可以从外部访问这个wordpress站点,如下图:
然后~~~~打开浏览器访问云服务名称(DNS)dockertemp.cloudapp.net,可以正常显示wordpress初始化配置页面了,这样就完成了一个容器应用的部署,真的是so easy :)
通过Xshell登陆到dockertemp虚拟机并查看docker启动配置文件,可以清楚的看到当前启动方式为指定的tls验证方式,且声明了监听端口为4243,如下图:
##################################################################
综上所述,要想在Azure上使用docker服务,其实就是微软帮我们自动化实现了docker daemon模式的部署和启用,但是在过程中我们需要手动的准备证书文件和端口映射,熟悉一遍之后感觉还是比较简单的,另外需要注意的是,如果docker client使用的是boot2docker,则每次重启时boot2docker默认会生成新的证书,如果不想每次都修改一边TLS配置并指定远程host地址,则需要使用boot2docker ssh登陆到virtualbox里面的虚拟机进行操作,具体可以参见boot2docker官方文档,在此不做赘述;当然了~Azure遇上Docker,故事才刚刚开始。