Сетевое размещение менеджеров и работников Docker

336
user3677920

У меня есть классическая сегментированная сеть (сеть DMZ и внутренняя сеть LAN с маршрутизатором / межсетевым экраном между ними) и кластерное соединение Docker Swarm на 3 узла, все менеджеры (Dm).

В настоящее время мы размещаем узлы менеджера докеров следующим образом (посмотрите на «Dm's» в DMZ):

 | / \ Internet: \|/ | ---------------------------------------------------- DMZ : Dm Dm Dm ---------------------------------------------------- LAN : (some non containerized backend services)

Я хотел узнать о реальной выгоде инвестирования в расширение этого единого кластера за счет дополнительных узлов в качестве рабочих (Dw) в DMZ и перемещения менеджеров (Dm) внутри локальной сети, например:

 | / \ Internet: \|/ | ---------------------------------------------------- DMZ : Dw Dw ---------------------------------------------------- LAN : Dm Dm Dm + (some non containerized backend services)

Мое обоснование для изменения:

  1. Как уже упоминалось, избегайте наличия узлов менеджера докеров в DMZ, вместо этого переместите ваших менеджеров во внутреннюю локальную сеть и поместите 2 рабочих в DMZ.
  2. Разместите контейнеры обратного или прямого прокси в рабочих узлах, чтобы они, как обычно, слушали запрос в DMZ; Поместите серверы приложений или NoSQL-кэширование в менеджеры, чтобы они были во внутренней локальной сети, как обычно.
  3. Даже если вы добавляете два дополнительных узла (рабочих в демилитаризованной зоне), по причинам высокой доступности не используйте менее 3 управляющих узлов. Если они делают наоборот: добавьте больше рабочих узлов во внутреннюю локальную сеть, чтобы ваши менеджеры вообще не запускали какой-либо контейнер.

Имеют ли мои очки смысл? Если все в порядке, согласны ли вы с предыдущим опытом (так вы используете Docker Swarm)? Есть потенциальные проблемы?

0
Ваша формулировка немного странная. Вы скопировали свои рассуждения откуда-то? Зачем мне перемещать менеджеров Docker, если вы хотите изменить настройки? Seth 6 лет назад 0
Привет, Сет, мое главное беспокойство - иметь узлы менеджера докеров в DMZ, я думаю, что они слишком разумны, поэтому я должен поместить их во внутреннюю локальную сеть, за межсетевым экраном между ними. (это пункт 1 в моем первоначальном сообщении). PS Извините Сета за формулировку, я взял рассуждения из своих заметок, которые имеют немного другой контекст. Я могу прокомментировать ниже. user3677920 6 лет назад 0
(Я поясняю пункт 2). Но то, что переход на DMZ имеет некоторые последствия для контейнеров, которые я хочу запустить (пара обратных и прямых прокси, сервер приложений, база данных ...). Например, обратные прокси-серверы должны быть в демилитаризованной зоне, поэтому я подумал о добавлении двух рабочих докеров в демилитаризованную зону, чтобы я мог разместить там свои контейнеры обратного прокси-сервера, прослушивая запросы на обслуживание из Интернета. --- В то время как другие контейнеры, такие как my db, должны быть размещены в менеджерах докеров, так как они находятся во внутренней локальной сети. user3677920 6 лет назад 0
(Я поясняю пункт 3). Я уже упоминал, что все началось, потому что я хотел добавить дополнительную защиту менеджерам докеров, поэтому я хочу переместить их во внутреннюю локальную сеть. Теперь еще один способ защитить их - не запускать в них какой-либо контейнер, вместо этого они будут выполнять только функции управления кластером, в то время как я добавлю в док-станцию ​​дополнительных работников док-станции. Это дорого, но я все равно хотел спросить, насколько это полезно. user3677920 6 лет назад 0

0 ответов на вопрос

Похожие вопросы