V tomto článku používáme praštit, ssh, přístavní dělník и Nginx Zorganizujeme bezproblémový layout webové aplikace. Modro-zelené nasazení je technika, která umožňuje okamžitou aktualizaci aplikace bez odmítnutí jediného požadavku. Je to jedna ze strategií nasazení s nulovými prostoji a nejlépe se hodí pro aplikace s jednou instancí, ale s možností načíst druhou instanci připravenou ke spuštění v blízkosti.
Řekněme, že máte webovou aplikaci, se kterou mnoho klientů aktivně pracuje, a neexistuje absolutně žádný způsob, jak by si mohla na pár sekund lehnout. A opravdu potřebujete vydat aktualizaci knihovny, opravu chyb nebo novou skvělou funkci. V normální situaci budete muset aplikaci zastavit, vyměnit a znovu spustit. V případě dockeru jej můžete nejprve vyměnit, poté restartovat, ale stále bude existovat období, ve kterém nebudou požadavky na aplikaci zpracovány, protože obvykle trvá počáteční načtení aplikace nějakou dobu. Co když se spustí, ale ukáže se, že je nefunkční? To je problém, vyřešme ho s minimálními prostředky a co nejelegantněji.
ODMÍTNUTÍ ODPOVĚDNOSTI: Většina článku je prezentována v experimentálním formátu – ve formě záznamu konzolové relace. Doufejme, že to nebude příliš složité na pochopení a kód se bude dostatečně dobře dokumentovat. Pro atmosféru si představte, že to nejsou jen útržky kódu, ale papír z „železného“ dálnopisu.
Na začátku každé části jsou popsány zajímavé techniky, které je obtížné pro Google pouhým čtením kódu. Pokud je něco nejasného, vygooglujte to a podívejte se. vysvětluje peklo (naštěstí opět funguje, kvůli odblokování telegramu). Pokud nic neumíte vygooglovat, zeptejte se v komentářích. Rád doplním odpovídající sekci „Zajímavé techniky“.
Pojďme začít.
$ mkdir blue-green-deployment && cd $_
Služba
Udělejme experimentální službu a umístíme ji do kontejneru.
Zajímavé techniky
cat << EOF > file-name (Zde Dokument + Přesměrování I/O) je způsob, jak vytvořit víceřádkový soubor jedním příkazem. Všechno, z čeho bash čte /dev/stdin za tímto řádkem a před řádkem EOF bude zaznamenáno v file-name.
wget -qO- URL (vysvětluje peklo) — výstup dokumentu přijatého přes HTTP na /dev/stdout (analogový curl URL).
Vytisknout
Konkrétně zlomím úryvek, abych povolil zvýraznění pro Python. Na konci bude další takový kousek. Vezměte v úvahu, že v těchto místech byl papír nařezán, aby byl odeslán do zvýrazňovacího oddělení (kde byl kód ručně obarven zvýrazňovači), a poté byly tyto kusy přilepeny zpět.
$ cat << EOF > uptimer.py
from http.server import BaseHTTPRequestHandler, HTTPServer
from time import monotonic
app_version = 1
app_name = f'Uptimer v{app_version}.0'
loading_seconds = 15 - app_version * 5
class Handler(BaseHTTPRequestHandler):
def do_GET(self):
if self.path == '/':
try:
t = monotonic() - server_start
if t < loading_seconds:
self.send_error(503)
else:
self.send_response(200)
self.send_header('Content-Type', 'text/html')
self.end_headers()
response = f'<h2>{app_name} is running for {t:3.1f} seconds.</h2>n'
self.wfile.write(response.encode('utf-8'))
except Exception:
self.send_error(500)
else:
self.send_error(404)
httpd = HTTPServer(('', 8080), Handler)
server_start = monotonic()
print(f'{app_name} (loads in {loading_seconds} sec.) started.')
httpd.serve_forever()
EOF
$ cat << EOF > Dockerfile
FROM python:alpine
EXPOSE 8080
COPY uptimer.py app.py
CMD [ "python", "-u", "./app.py" ]
EOF
$ docker build --tag uptimer .
Sending build context to Docker daemon 39.42kB
Step 1/4 : FROM python:alpine
---> 8ecf5a48c789
Step 2/4 : EXPOSE 8080
---> Using cache
---> cf92d174c9d3
Step 3/4 : COPY uptimer.py app.py
---> a7fbb33d6b7e
Step 4/4 : CMD [ "python", "-u", "./app.py" ]
---> Running in 1906b4bd9fdf
Removing intermediate container 1906b4bd9fdf
---> c1655b996fe8
Successfully built c1655b996fe8
Successfully tagged uptimer:latest
$ docker run --rm --detach --name uptimer --publish 8080:8080 uptimer
8f88c944b8bf78974a5727070a94c76aa0b9bb2b3ecf6324b784e782614b2fbf
$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
8f88c944b8bf uptimer "python -u ./app.py" 3 seconds ago Up 5 seconds 0.0.0.0:8080->8080/tcp uptimer
$ docker logs uptimer
Uptimer v1.0 (loads in 10 sec.) started.
$ wget -qSO- http://localhost:8080
HTTP/1.0 503 Service Unavailable
Server: BaseHTTP/0.6 Python/3.8.3
Date: Sat, 22 Aug 2020 19:52:40 GMT
Connection: close
Content-Type: text/html;charset=utf-8
Content-Length: 484
$ wget -qSO- http://localhost:8080
HTTP/1.0 200 OK
Server: BaseHTTP/0.6 Python/3.8.3
Date: Sat, 22 Aug 2020 19:52:45 GMT
Content-Type: text/html
<h2>Uptimer v1.0 is running for 15.4 seconds.</h2>
$ docker rm --force uptimer
uptimer
Reverzní proxy
Aby se naše aplikace mohla nepozorovaně měnit, je nutné, aby před ní byla nějaká další entita, která její nahrazení schová. Může to být webový server Nginx в reverzní režim proxy. Mezi klientem a aplikací je vytvořen reverzní proxy. Přijímá požadavky od klientů a předává je aplikaci a předává odpovědi aplikace klientům.
Aplikaci a reverzní proxy lze propojit pomocí dockeru docker síť. Kontejner s aplikací tedy ani nemusí předávat port na hostitelském systému, což umožňuje aplikaci maximálně izolovat od vnějších hrozeb.
Pokud reverzní proxy žije na jiném hostiteli, budete muset opustit dockerovou síť a připojit aplikaci k reverznímu proxy přes hostitelskou síť, přesměrovat port aplikace parametr --publish, jako při prvním spuštění a jako u reverzního proxy.
Reverzní proxy spustíme na portu 80, protože to je přesně ta entita, která by měla naslouchat vnější síti. Pokud je port 80 na vašem testovacím hostiteli zaneprázdněn, změňte parametr --publish 80:80 na --publish ANY_FREE_PORT:80.
$ docker network create web-gateway
5dba128fb3b255b02ac012ded1906b7b4970b728fb7db3dbbeccc9a77a5dd7bd
$ docker run --detach --rm --name uptimer --network web-gateway uptimer
a1105f1b583dead9415e99864718cc807cc1db1c763870f40ea38bc026e2d67f
$ docker run --rm --network web-gateway alpine wget -qO- http://uptimer:8080
<h2>Uptimer v1.0 is running for 11.5 seconds.</h2>
$ docker run --detach --publish 80:80 --network web-gateway --name reverse-proxy nginx:alpine
80695a822c19051260c66bf60605dcb4ea66802c754037704968bc42527bf120
$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
80695a822c19 nginx:alpine "/docker-entrypoint.…" 27 seconds ago Up 25 seconds 0.0.0.0:80->80/tcp reverse-proxy
a1105f1b583d uptimer "python -u ./app.py" About a minute ago Up About a minute 8080/tcp uptimer
$ cat << EOF > uptimer.conf
server {
listen 80;
location / {
proxy_pass http://uptimer:8080;
}
}
EOF
$ docker cp ./uptimer.conf reverse-proxy:/etc/nginx/conf.d/default.conf
$ docker exec reverse-proxy nginx -s reload
2020/06/23 20:51:03 [notice] 31#31: signal process started
$ wget -qSO- http://localhost
HTTP/1.1 200 OK
Server: nginx/1.19.0
Date: Sat, 22 Aug 2020 19:56:24 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
<h2>Uptimer v1.0 is running for 104.1 seconds.</h2>
Bezproblémové nasazení
Zavedeme novou verzi aplikace (s dvojnásobným zvýšením výkonu při spuštění) a pokusíme se ji bezproblémově nasadit.
Zajímavé techniky
echo 'my text' | docker exec -i my-container sh -c 'cat > /my-file.txt' — Napište text my text do souboru /my-file.txt uvnitř nádoby my-container.
cat > /my-file.txt — Zapsat obsah standardního vstupu do souboru /dev/stdin.
Vytisknout
$ sed -i "s/app_version = 1/app_version = 2/" uptimer.py
$ docker build --tag uptimer .
Sending build context to Docker daemon 39.94kB
Step 1/4 : FROM python:alpine
---> 8ecf5a48c789
Step 2/4 : EXPOSE 8080
---> Using cache
---> cf92d174c9d3
Step 3/4 : COPY uptimer.py app.py
---> 3eca6a51cb2d
Step 4/4 : CMD [ "python", "-u", "./app.py" ]
---> Running in 8f13c6d3d9e7
Removing intermediate container 8f13c6d3d9e7
---> 1d56897841ec
Successfully built 1d56897841ec
Successfully tagged uptimer:latest
$ docker run --detach --rm --name uptimer_BLUE --network web-gateway uptimer
96932d4ca97a25b1b42d1b5f0ede993b43f95fac3c064262c5c527e16c119e02
$ docker logs uptimer_BLUE
Uptimer v2.0 (loads in 5 sec.) started.
$ docker run --rm --network web-gateway alpine wget -qO- http://uptimer_BLUE:8080
<h2>Uptimer v2.0 is running for 23.9 seconds.</h2>
$ sed s/uptimer/uptimer_BLUE/ uptimer.conf | docker exec --interactive reverse-proxy sh -c 'cat > /etc/nginx/conf.d/default.conf'
$ docker exec reverse-proxy cat /etc/nginx/conf.d/default.conf
server {
listen 80;
location / {
proxy_pass http://uptimer_BLUE:8080;
}
}
$ docker exec reverse-proxy nginx -s reload
2020/06/25 21:22:23 [notice] 68#68: signal process started
$ wget -qO- http://localhost
<h2>Uptimer v2.0 is running for 63.4 seconds.</h2>
$ docker rm -f uptimer
uptimer
$ wget -qO- http://localhost
<h2>Uptimer v2.0 is running for 84.8 seconds.</h2>
$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
96932d4ca97a uptimer "python -u ./app.py" About a minute ago Up About a minute 8080/tcp uptimer_BLUE
80695a822c19 nginx:alpine "/docker-entrypoint.…" 8 minutes ago Up 8 minutes 0.0.0.0:80->80/tcp reverse-proxy
V této fázi je obraz postaven přímo na serveru, což vyžaduje, aby tam byly zdroje aplikace, a také zatěžuje server zbytečnou prací. Dalším krokem je přidělení obrazové sestavy do samostatného počítače (například do systému CI) a její přenos na server.
Přenos obrázků
Bohužel nemá smysl přenášet obrázky z localhost na localhost, takže tuto sekci lze prozkoumat pouze v případě, že máte po ruce dva hostitele s Dockerem. Minimálně to vypadá nějak takto:
$ ssh production-server docker image ls
REPOSITORY TAG IMAGE ID CREATED SIZE
$ docker image save uptimer | ssh production-server 'docker image load'
Loaded image: uptimer:latest
$ ssh production-server docker image ls
REPOSITORY TAG IMAGE ID CREATED SIZE
uptimer latest 1d56897841ec 5 minutes ago 78.9MB
Tým docker save ukládá obrazová data do archivu .tar, což znamená, že váží asi 1.5krát více, než by vážilo v komprimované formě. Pojďme to tedy zatřást ve jménu úspory času a provozu:
Nyní shrňme vše, co jsme dělali ručně, do jednoho skriptu. Začněme funkcí nejvyšší úrovně a pak se podívejme na ostatní, které jsou v ní použity.
Zajímavé techniky
${parameter?err_msg} - jedno z bash magických kouzel (aka substituce parametrů). Li parameter neuvedeno, výstup err_msg a ukončete s kódem 1.
docker --log-driver journald — ve výchozím nastavení je ovladač protokolování dockeru textový soubor bez rotace. Při tomto přístupu logy rychle zaplní celý disk, takže pro produkční prostředí je nutné změnit ovladač na chytřejší.
Skript nasazení
deploy() {
local usage_msg="Usage: ${FUNCNAME[0]} image_name"
local image_name=${1?$usage_msg}
ensure-reverse-proxy || return 2
if get-active-slot $image_name
then
local OLD=${image_name}_BLUE
local new_slot=GREEN
else
local OLD=${image_name}_GREEN
local new_slot=BLUE
fi
local NEW=${image_name}_${new_slot}
echo "Deploying '$NEW' in place of '$OLD'..."
docker run
--detach
--restart always
--log-driver journald
--name $NEW
--network web-gateway
$image_name || return 3
echo "Container started. Checking health..."
for i in {1..20}
do
sleep 1
if get-service-status $image_name $new_slot
then
echo "New '$NEW' service seems OK. Switching heads..."
sleep 2 # Ensure service is ready
set-active-slot $image_name $new_slot || return 4
echo "'$NEW' service is live!"
sleep 2 # Ensure all requests were processed
echo "Killing '$OLD'..."
docker rm -f $OLD
docker image prune -f
echo "Deployment successful!"
return 0
fi
echo "New '$NEW' service is not ready yet. Waiting ($i)..."
done
echo "New '$NEW' service did not raise, killing it. Failed to deploy T_T"
docker rm -f $NEW
return 5
}
Použité vlastnosti:
ensure-reverse-proxy — Zajistí, že reverzní proxy funguje (užitečné pro první nasazení)
get-active-slot service_name — Určuje, který slot je aktuálně aktivní pro danou službu (BLUE nebo GREEN)
get-service-status service_name deployment_slot — Určuje, zda je služba připravena zpracovávat příchozí požadavky
ensure-reverse-proxy() {
is-container-up reverse-proxy && return 0
echo "Deploying reverse-proxy..."
docker network create web-gateway
docker run
--detach
--restart always
--log-driver journald
--name reverse-proxy
--network web-gateway
--publish 80:80
nginx:alpine || return 1
docker exec --interactive reverse-proxy sh -c "> /etc/nginx/conf.d/default.conf"
docker exec reverse-proxy nginx -s reload
}
is-container-up() {
local container=${1?"Usage: ${FUNCNAME[0]} container_name"}
[ -n "$(docker ps -f name=${container} -q)" ]
return $?
}
get-active-slot() {
local service=${1?"Usage: ${FUNCNAME[0]} service_name"}
if is-container-up ${service}_BLUE && is-container-up ${service}_GREEN; then
echo "Collision detected! Stopping ${service}_GREEN..."
docker rm -f ${service}_GREEN
return 0 # BLUE
fi
if is-container-up ${service}_BLUE && ! is-container-up ${service}_GREEN; then
return 0 # BLUE
fi
if ! is-container-up ${service}_BLUE; then
return 1 # GREEN
fi
}
get-service-status() {
local usage_msg="Usage: ${FUNCNAME[0]} service_name deployment_slot"
local service=${1?usage_msg}
local slot=${2?$usage_msg}
case $service in
# Add specific healthcheck paths for your services here
*) local health_check_port_path=":8080/" ;;
esac
local health_check_address="http://${service}_${slot}${health_check_port_path}"
echo "Requesting '$health_check_address' within the 'web-gateway' docker network:"
docker run --rm --network web-gateway alpine
wget --timeout=1 --quiet --server-response $health_check_address
return $?
}
set-active-slot() {
local usage_msg="Usage: ${FUNCNAME[0]} service_name deployment_slot"
local service=${1?$usage_msg}
local slot=${2?$usage_msg}
[ "$slot" == BLUE ] || [ "$slot" == GREEN ] || return 1
get-nginx-config $service $slot | docker exec --interactive reverse-proxy sh -c "cat > /etc/nginx/conf.d/$service.conf"
docker exec reverse-proxy nginx -t || return 2
docker exec reverse-proxy nginx -s reload
}
Funkce get-active-slot chce to malé vysvětlení:
Proč vrací číslo a nevydává řetězec?
Každopádně ve funkci volání kontrolujeme výsledek její práce a kontrola výstupního kódu pomocí bash je mnohem jednodušší než kontrola řetězce. Získání řetězce z něj je navíc velmi jednoduché: get-active-slot service && echo BLUE || echo GREEN.
Opravdu stačí tři podmínky k rozlišení všech stavů?
I dva budou stačit, ten poslední je tu jen pro úplnost, abych nepsal else.
Nedefinovaná zůstává pouze funkce, která vrací konfigurace nginx: get-nginx-config service_name deployment_slot. Analogicky ke kontrole stavu zde můžete nastavit libovolnou konfiguraci pro jakoukoli službu. Ze zajímavých věcí - pouze cat <<- EOF, který umožňuje odstranit všechny karty na začátku. Pravda, cenou za dobré formátování jsou smíšené tabulátory s mezerami, což je dnes považováno za velmi špatnou formu. Ale bash vynucuje karty a také by bylo hezké mít normální formátování v konfiguraci nginx. Stručně řečeno, míchání tabulátorů s mezerami se zde opravdu zdá jako nejlepší řešení z nejhoršího. Ve úryvku níže to však neuvidíte, protože Habr to „dělá dobře“ tím, že všechny tabulátory změní na 4 mezery a zneplatní EOF. A tady je to patrné.
Abyste nevstávali dvakrát, hned vám o tom řeknu cat << 'EOF', se kterými se setkáme později. Když píšeš jednoduše cat << EOF, pak uvnitř heredoc je řetězec interpolován (proměnné jsou rozbaleny ($foo), volání příkazů ($(bar)) atd.), a pokud konec dokumentu uzavřete do jednoduchých uvozovek, interpolace je zakázána a symbol $ se zobrazí tak, jak je. Co potřebujete k vložení skriptu do jiného skriptu.
get-nginx-config() {
local usage_msg="Usage: ${FUNCNAME[0]} service_name deployment_slot"
local service=${1?$usage_msg}
local slot=${2?$usage_msg}
[ "$slot" == BLUE ] || [ "$slot" == GREEN ] || return 1
local container_name=${service}_${slot}
case $service in
# Add specific nginx configs for your services here
*) nginx-config-simple-service $container_name:8080 ;;
esac
}
nginx-config-simple-service() {
local usage_msg="Usage: ${FUNCNAME[0]} proxy_pass"
local proxy_pass=${1?$usage_msg}
cat << EOF
server {
listen 80;
location / {
proxy_pass http://$proxy_pass;
}
}
EOF
}
Provádění parametrizovaných skriptů na vzdáleném serveru
Je čas zaklepat na cílový server. Tentokrát localhost docela vhodné:
$ ssh-copy-id localhost
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
himura@localhost's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'localhost'"
and check to make sure that only the key(s) you wanted were added.
Napsali jsme implementační skript, který stáhne předem vytvořený obraz na cílový server a bez problémů nahradí servisní kontejner, ale jak jej můžeme spustit na vzdáleném počítači? Skript má argumenty, protože je univerzální a může nasadit několik služeb najednou pod jednou reverzní proxy (můžete použít konfigurace nginx k určení, která adresa URL bude která služba). Skript nelze uložit na server, protože v tomto případě jej nebudeme moci automaticky aktualizovat (za účelem opravy chyb a přidávání nových služeb) a obecně stav = zlo.
Řešení 1: Stále ukládejte skript na server, ale pokaždé jej zkopírujte scp. Poté se připojte přes ssh a spusťte skript s potřebnými argumenty.
nevýhody:
Dvě akce místo jedné
Nemusí existovat místo, kam kopírujete, nebo k němu nemusí být přístup, nebo může být skript spuštěn v době nahrazení.
Je vhodné po sobě uklidit (smazat skript).
Již tři akce.
Řešení 2:
Udržujte ve skriptu pouze definice funkcí a nespouštějte vůbec nic
S sed přidat volání funkce na konec
Pošlete to všechno přímo do shh přes potrubí (|)
výhody:
Skutečně bez státní příslušnosti
Žádné standardní entity
Pocit pohodě
Udělejme to bez Ansible. Ano, vše už bylo vymyšleno. Ano, kolo. Podívejte se, jak jednoduché, elegantní a minimalistické kolo je:
$ cat << 'EOF' > deploy.sh
#!/bin/bash
usage_msg="Usage: $0 ssh_address local_image_tag"
ssh_address=${1?$usage_msg}
image_name=${2?$usage_msg}
echo "Connecting to '$ssh_address' via ssh to seamlessly deploy '$image_name'..."
( sed "$a deploy $image_name" | ssh -T $ssh_address ) << 'END_OF_SCRIPT'
deploy() {
echo "Yay! The '${FUNCNAME[0]}' function is executing on '$(hostname)' with argument '$1'"
}
END_OF_SCRIPT
EOF
$ chmod +x deploy.sh
$ ./deploy.sh localhost magic-porridge-pot
Connecting to localhost...
Yay! The 'deploy' function is executing on 'hut' with argument 'magic-porridge-pot'
Nemůžeme si však být jisti, že vzdálený hostitel má adekvátní bash, takže na začátek přidáme malou kontrolu (toto je místo shellbang):
if [ "$SHELL" != "/bin/bash" ]
then
echo "The '$SHELL' shell is not supported by 'deploy.sh'. Set a '/bin/bash' shell for '$USER@$HOSTNAME'."
exit 1
fi
A teď je to skutečné:
$ docker exec reverse-proxy rm /etc/nginx/conf.d/default.conf
$ wget -qO deploy.sh https://git.io/JUURc
$ chmod +x deploy.sh
$ ./deploy.sh localhost uptimer
Sending gzipped image 'uptimer' to 'localhost' via ssh...
Loaded image: uptimer:latest
Connecting to 'localhost' via ssh to seamlessly deploy 'uptimer'...
Deploying 'uptimer_GREEN' in place of 'uptimer_BLUE'...
06f5bc70e9c4f930e7b1f826ae2ca2f536023cc01e82c2b97b2c84d68048b18a
Container started. Checking health...
Requesting 'http://uptimer_GREEN:8080/' within the 'web-gateway' docker network:
HTTP/1.0 503 Service Unavailable
wget: server returned error: HTTP/1.0 503 Service Unavailable
New 'uptimer_GREEN' service is not ready yet. Waiting (1)...
Requesting 'http://uptimer_GREEN:8080/' within the 'web-gateway' docker network:
HTTP/1.0 503 Service Unavailable
wget: server returned error: HTTP/1.0 503 Service Unavailable
New 'uptimer_GREEN' service is not ready yet. Waiting (2)...
Requesting 'http://uptimer_GREEN:8080/' within the 'web-gateway' docker network:
HTTP/1.0 200 OK
Server: BaseHTTP/0.6 Python/3.8.3
Date: Sat, 22 Aug 2020 20:15:50 GMT
Content-Type: text/html
New 'uptimer_GREEN' service seems OK. Switching heads...
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
2020/08/22 20:15:54 [notice] 97#97: signal process started
The 'uptimer_GREEN' service is live!
Killing 'uptimer_BLUE'...
uptimer_BLUE
Total reclaimed space: 0B
Deployment successful!
Nyní můžete otevřít http://localhost/ v prohlížeči spusťte nasazení znovu a ujistěte se, že běží hladce, aktualizací stránky podle CD během rozložení.