对于云上部署一直没有找到一个比较简单舒服的方式,花了点时间终于把 Docker 常用的一个基本套路跑通了,本文结合 Docker + Nginx + Letsencrypt 在同一台 Linux 服务器上部署多个应用,让我们这些低流量单鸡也能轻松部署多个站点,并且让其支持 HTTPS 访问,文中以 Ruby/Sinatra 应用为例,当然不局限于此,你也可以用同样的方法来部署 Python、PHP 或者静态站点。
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化;
初识 Docker
这一节简单介绍了我个人所理解使用 Docker 的最基本的概念,不作深入展开讨论,更多的可以查看 Docker 中文文档,如果你已经使用过 Docker 可以跳过本节。
镜像 Image
镜像就像以前我们安装 Windows 系统所用的系统光盘,通过 “还原” 可以复制一份系统出来;这就和 Docker 的镜像概念有些类似,只是这个镜像更自动化、高度扩展、内容更丰富,我们的 Web 应用就打包在这个里面。
Windows 年代不是很流行 GHOST 吗,一键 GHOST 选择一个后缀名为 .gho 的文件还原系统,那时候我们只需要制作好系统镜像,然后把镜像文件刻录成光盘就是一个系统盘了,给别人来个 “一键还原” 就克隆出一台一摸一样的操作系统。
容器 Container
同上的概念,容器可以看作通过一个系统光盘还原出的系统,这个系统是我们平时使用的系统,当然你还可以抹掉重装,而我们开机关机(Run/Stop)都是针对于系统(容器),容器是从一个镜像生成出来的。
Dockerfile
我们通过一个 Dockerfile 来描述一个镜像(应用),这个应用可以从本地进行编译,也可以从远端进行拉取(事先编译好后上传到到服务器),比如你可以执行 docker run hello-world 来从远端拉取一个已经编译好了的镜像到本地并运行。
下面以一个 Ruby App 的 Dockerfile 为例来构造一个镜像:
FROM ruby:2.5.1-alpine // 指定 Ruby 版本和 linux 系统
WORKDIR /app // 容器内的工作目录
ADD . /app // 拷贝当前目录到容器中
RUN bundle install --system // 在容器内拉取 ruby app 所需依赖
EXPOSE 80 // 将容器内的 80 端口暴露出来
CMD ["ruby", "app.rb", "-p", "80", "-o", "0.0.0.0"] // ruby app.rb -p 80 -o 0.0.0.0
然后通过 build 命令来将这个 Dockerfile 编译成镜像,并指定镜像名为 myapp:
docker build -t myapp .
编译会执行 Dockerfile 中描述的各种指令,如下载系统-拷贝目录-拉取依赖-执行 SHELL 命令等等;但这时候这个容器并没有跑起来,只是被编译成镜像了而已,可以通过 docker images 查看:
REPOSITORY TAG IMAGE ID CREATED SIZE
myapp latest 1dd7b4ab48b0 1 minute ago 106MB
然后执行 docker run 就可以生成一个容器跑起来了。
docker run -d myapp
- -d: 后台运行容器
- --name 指定一个容器的名字
- ...
Docker Compose
容器运行可以有很多参数,比如指定映射宿主主机的端口、环境变量等等,包在一个 docker run 命令后就太麻烦了,所以通常用 docker-compose 来组织运行,它可以运行多个容器,并且可以指定依赖关系,以 YAML 格式存储可读性更高。
version: '3' // docker-compose 版本
services: // 组织哪些容器
myapp: // 第一个容器
image: myapp // 镜像名
container_name: myapp // 容器名
restart: always // 容器重启策略
environment: // 环境变量
- VIRTUAL_HOST=myapp.com // nginx-proxy 所用域名
- LETSENCRYPT_HOST=myapp.com // letsencrypt-nginx-proxy-companion
- LETSENCRYPT_EMAIL=myapp@yo.com // letsencrypt-nginx-proxy-companion
- REDIS_URL=redis://redis:6379 // Redis 连接URL
networks: // 网络 (用于容器间通信)
- nginx-proxy
- redis-net
depends_on: // 依赖 redis 容器提供的服务
- redis
redis:
image: redis
container_name: redis
hostname: redis
restart: always
networks:
- redis-net
command: ["redis-server", "--appendonly", "yes"]
volumes:
- 'redis-data:/data'
networks: // 定义网络
nginx-proxy:
external:
name: nginx-proxy
redis-net:
driver: bridge
volumes:
redis-data:
通过 docker-compose up 命令来执行这一系列容器构建:
docker-compose up -d
网络 Network
容器之间是通过 Docker 的虚拟网络来通信的,在 docker-compose.yml 中 Docker 会自动为每一个容器创建一个默认的网络,我们可以通过指定网络来建立通信,如果要跨 docker-compose 容器通信就需要定义外部网络(external) 来实现了;
我们可以通过 docker network 命令创建一个网络:
docker network create redis-net
Docker Compose 的默认网络模式是 bridge,关于网络模式更多信息可以查看官方文档 Networking in Compose。
持久化 Volume
容器的生命周期是没有保障的,挂了的话可能随时可能会通过镜像重新创建,如果重新创建容器,那数据就都没有了,那我们存在容器里的数据就很不安全,所以这时候就有了 Volume 的概念可以让我们把某些目录或文件映射到宿主主机,不受容器生命周期而删除掉,当然,如果是要做数据的安全备份那又是另外一个话题了,这里只是介绍如何把容器内的数据保存到主机上。
Nginx-proxy
重要的话题来了,如何在一台机子上暴露多个容器的服务到外网呢?我们可以使用 nginx-proxy 来自动处理 Docker Nginx 反向代理,实现同一台服务器上运行多个容器应用,分别绑定各自不同的域名进行访问。
Docker 提供 inspect 命令可以在运行时获取一个容器的元信息,比如 IP、端口等,和另一个 events 命令来获取一些容器启动、停止的钩子回调,nginx-proxy 正式通过这些 API 来自动生成 Nginx 反向代理的回调,关于 Docker 自动 Nginx 反响代理可以查看这篇文章《Automated Nginx Reverse Proxy for Docker》。
nginx-proxy
我们可以建立一个 nginx-proxy 用来反向代理的容器配置、Nginx 配置等等,目录结构大致如下:
.
└── nginx-proxy
├── docker-compose.yml
└── nginx
├── certs // 存放 SSL 证书
├── conf.d
│ └── default.conf // 后面自动生成
你需要切到然后切到 nginx-proxy 目录执行 Docker 相关操作,下面例子的 volumes 都使用的相对路径。
下面看一个例子 docker-compose.yml :
version: '3'
services:
nginx-proxy:
image: jwilder/nginx-proxy
container_name: nginx-proxy
ports:
- "80:80"
restart: always
volumes:
- ./nginx/conf.d:/etc/nginx/conf.d
- /var/run/docker.sock:/tmp/docker.sock:ro
- ./nginx/nginx.tmpl:/etc/docker-gen/templates/nginx.tmpl:ro
networks:
default:
external:
name: nginx-proxy
运行之前我们需要先下载 nginx-gen 所需的 nginx.tmpl 模版:
curl https://raw.githubusercontent.com/jwilder/nginx-proxy/master/nginx.tmpl > ./nginx/nginx.tmpl
现在我们可以通过 docker-compose up 跑起来 nginx-proxy,并加入到名为 nginx-proxy 的网络中,这时候就会启动自动监听其他容器的启动事件,并自动生成 Nginx 配置:
nginx-proxy | dockergen.1 | 2018/09/10 11:13:57 Received event die for container a08a5c556994
nginx-proxy | dockergen.1 | 2018/09/10 11:13:58 Received event stop for container a08a5c556994
nginx-proxy | dockergen.1 | 2018/09/10 11:13:58 Generated '/etc/nginx/conf.d/default.conf' from 2 containers
nginx-proxy | dockergen.1 | 2018/09/10 11:13:58 Running 'nginx -s reload'
nginx-proxy | dockergen.1 | 2018/09/10 11:13:59 Received event start for container a08a5c556994
nginx-proxy | dockergen.1 | 2018/09/10 11:13:59 Generated '/etc/nginx/conf.d/default.conf' from 3 containers
nginx-proxy | dockergen.1 | 2018/09/10 11:13:59 Running 'nginx -s reload'
nginx-proxy | dockergen.1 | 2018/09/10 11:14:00 Contents of /etc/nginx/conf.d/default.conf did not change. Skipping notification 'nginx -s reload'
现在你再挂载其他容器,并向外暴露 80 端口并通过环境变量 VIRTUAL_HOST 指定绑定域名即可访问了。
Let's Encrypt
如今 HTTPS 已经成为标配,苹果爸爸在 iOS 上甚至要求默认必须启用 HTTPS 网络请求访问,可见其重要性, Let's Encrypt 是一个免费的 SSL 证书颁发机构,也可以通过 certbot 之类的工具来自动生成或更新,不过搭配 nginx-proxy 则可以用一个更为方便的东西叫 JrCs/docker-letsencrypt-nginx-proxy-companion 来创建、续订 Let's Encrypt 证书,有一张图很好的解释了它们的工作原理:
docker-letsencrypt-nginx-proxy-companion
继续上面的例子,修改 docker-compose.yml 如下:
version: '2'
services:
nginx-proxy:
image: jwilder/nginx-proxy
container_name: nginx-proxy
labels:
com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true"
ports:
- "80:80"
- "443:443"
restart: always
volumes:
- ./nginx/conf.d:/etc/nginx/conf.d
- ./nginx/vhost.d:/etc/nginx/vhost.d
- ./nginx/html/:/usr/share/nginx/html
- ./certs:/etc/nginx/certs
- /var/run/docker.sock:/tmp/docker.sock:ro
- ./nginx/nginx.tmpl:/etc/docker-gen/templates/nginx.tmpl:ro
letsencrypt-nginx-proxy-companion:
image: jrcs/letsencrypt-nginx-proxy-companion
container_name: letsencrypt-nginx-proxy-companion
volumes_from:
- nginx-proxy
volumes:
- ./certs:/etc/nginx/certs:rw
- /var/run/docker.sock:/var/run/docker.sock:ro
restart: always
networks:
default:
external:
name: nginx-proxy
这里我们新增了 443 端口为了启用 HTTPS,并引 letsencrypt-nginx-proxy-companion 用来自动生成 letsencrypt 证书,现在你可以通过 https 访问了,一条龙自动化服务真的感觉不错哦~
网友评论