0

目标: 拥有一个类似脚本的脚本,它将调用 Docker API 自动为新的客户端主机创建新服务,然后根据新的服务端口更新所有 swarm 节点上的 iptables 转发规则。

问题: 为了轻松地将新客户端应用程序添加到新客户端主机,跨多个集群节点动态更新 iptables 规则的最佳/稳健方法是什么?

场景流程:

  1. 客户端主机直接连接到端口 80/tcp 上的网络负载平衡器。
  2. 网络平衡器从客户端主机接收流量并重定向到作为 docker swarm 节点的池主机。
  3. Docker swarm 节点只允许端口 80/tcp 上的连接。
  4. docker swarm 节点上的 IPTables 规则取决于客户端(源 IP)将流量重定向到正确的 docker swarm 服务(tcp 端口)。

场景图片:

场景(示例):

  • Docker Swarm 主机

    • master01 = ip 10.20.30.100
    • node01 = ip 10.20.30.161
    • node02 = ip 10.20.30.162

  • Docker 群服务

    • app01 = 端口 8081/tcp(属于 client01)
    • app02 = 8082/tcp端口(属于client02)

  • 客户端主机

    • client01 = ip 192.168.10.100
    • client02 = ip 192.168.10.200

  • 网络负载均衡器

    • 网络-lb = ip 10.10.10.10
    • 池 = ip [10.20.30.161, 10.20.30.162]

  • Swarm 节点上的 IPTables 规则

    • iptables -t nat -I PREROUTING -p tcp -s 192.168.10.100 --dport 80 -j REDIRECT --to-port 8081
    • iptables -t nat -I PREROUTING -p tcp -s 192.168.10.200 --dport 80 -j REDIRECT --to-port 8082
4

1 回答 1

0

确定一些可以帮助您决定解决方案的快速项目。这是截至 17.12 版本:

  • 听起来您说对了这部分,但提醒一下,Docker 服务的设计使该服务的所有副本都是相同的,并且在配置方面不是唯一的。
  • Docker Overlay 网络、路由网格和 VIP/DNSRR 功能无法根据客户端(发起)IP 路由流量。
  • 鉴于 Swarm 管理着很多 iptables 规则,我会担心添加自己的外部 iptables 编辑解决方案。确保两者一起玩得很好可能会很棘手……但我从未尝试过。
  • 基于客户端 IP 的连接路由的最“Docker 方式”可能是使用 Traefik 或 Docker Flow Proxy,它们都支持 Swarm,并使用 nginx/haproxy 将传入连接的流量路由到 Swarm。他们通常根据请求的 DNS 名称或 URL 路径执行此操作,但他们应该能够根据客户端 IP 做出 Swarm 服务路由决策。
于 2018-02-24T18:50:01.383 回答