docker swarm 入门笔记

转载请注明出处 http://www.paraller.com
原文排版地址 点击跳转

转载请注明出处 来源:paraller's blog

docker swarm 简单的理解就是用 docker remote Api 对其他主机上的docker 容器进行操作

这一篇文章是比较旧的实现方式，1.12之后的版本引入了Swarm mode ，更加的方便，参考《docker swarm笔记-Swam mode》

原理

1、每个主机拉取一个swarm镜像，启动；
2、运行swarm容器，在Docker hub 中注册地址和token（所以不适用于生产环境）
3、因为每个docker配置文件都开放了地址，所以能远程操作

swarm 过滤器和策略

1、过滤器是指启动什么指定的docker主机容器
2、策略是指主机优先级使用

简单操作步骤

准备两台主机:

A:    120.24.242.119     10.170.48.177     192.168.0.1
B:    112.74.22.65     10.44.73.71     192.168.0.1  [master : 可以做节点的同时 作为master]

系统:ubuntu

修改docker配置文件：

vim /etc/default/docker 

-H tcp://0.0.0.0:2375
-H unix:///var/run/docker.sock

不然会报错：
Cannot connect to the Docker daemon. Is the docker daemon running on this host?

安装docker swarm

docker pull swarm:latest

创建集群密钥 token/cluster_id

node B:
docker run --rm swarm create
2f7b78725e94cae1ba3098ad5c6398b1

注册节点

node A:
docker run -d swarm join --addr=:10.170.48.177 token://2f7b78725e94cae1ba3098ad5c6398b1
6f824e607558685554e37e4a7adaf37e1286843fef1a6a2118cea2951aabb66a

node B:
docker run -d swarm join --addr=:10.44.73.71 token://2f7b78725e94cae1ba3098ad5c6398b1
40e9645a7a250621a0f3cf0ee436085faa4b120bcd33a753f9b2e9f339236660

注册master节点

docker run -t -p 2376:2375 -t swarm manage token://2f7b78725e94cae1ba3098ad5c6398b1 &

查看

docker -H tcp://10.170.48.177:2375  info
docker -H tcp://10.44.73.71:2375  info
docker -H tcp://10.170.48.177:2375  ps
docker -H tcp://10.170.48.177:2375  logs

在master中查看多少节点： [亲测无效...]
docker run --rm swarm list token://2f7b78725e94cae1ba3098ad5c6398b1

操纵

docker -H tcp://10.170.48.177:2375  run -d nginx

TLS

swarm manage --tlsverify --tlscacert=<CACERT> --tlscert=<CERT> --tlskey=<KEY> [...]

dockerSwarm获取root权限漏洞

利用 docker swarm 漏洞，获取宿主机 root 权限
曝Docker Remote API未授权访问漏洞，绿盟君带你看影响
利用docker 最新漏洞渗透--提取root 权限

参考网站

dockerhub swam
Swarm mode overview
Swarm Command

1