未加星标

Docker容器配置Nginx实例分享

字体大小 | |
[运维安全 所属分类 运维安全 | 发布者 店小二05 | 时间 | 作者 红领巾 ] 0人收藏点击收藏

作为目前最火的应用,Docker 确实存在着其独到之处,无论是程序猿还是运维都应该听说过 Docker 的大名,Docker 已经走过了许多的坑,目前最新版本是 v1.11.0 版本,应该说是完全能承载开发使用和运维监控,这款工具能帮助我们高效的打包、发布和运行承载着应用程序的容器系统。而且收集日志、帮助 App 的快速开发都有很大作用。

容器和虚拟机,经常是被拿出来对比的两款产品,实际上两者有着根本的差别,虚拟机是完全模拟了一台真实计算机,在上面运行的系统可能或者不可能知道自己运行在虚拟化环境下,并且虚拟机承载了将用户指令转换为特权指令的功能,所以虚拟机非常复杂,但是很完备,而 Docker 则完全不同。Docker 使用主机自身的 linux 内核,然后从镜像中产生磁盘目录和软件,所有的进程都运行在主机上,如果有兴趣的话完全可以 ps aux 查询一下,就能发现在 Docker 中运行的进程,只不过 Docker 对其做了如同 chroot 差不多概念的封装。

Docker 真正用法

在 Docker 发展的早期,由于 busybox 等轻量化镜像不完备,所以各大发行版的缩减瘦身镜像得到了更多的使用,特别是由于 Docker 本身是在 Ubuntu 环境下开发的,所以 Ubuntu 和 Debian 在很多镜像中作为基镜像,以此作为基础产生目标镜像。但是随着在实践中的使用,其弊端也暴露出来了,就是太过于重量化,比如 systemd 的日志功能和 Docker 本身的日志功能被重复使用,镜像很难缩小到 300M 以内。而且 Docker 的推荐使用方式就是单进程模型,而并非是多个进程如同一个完备的操作系统一般。所以就产生了 alpine 等轻量级基镜像,alpine 是什么则可以自行百度,这个镜像是 Docker 官方推荐的镜像,未来官方镜像将会迁移到 alpine 作为基础的镜像上,所以,我们应当早日熟悉此镜像。

构建 Dockerfile

本文讲述的是 Docker 容器的 Nginx 实践,不过官方实际上已经有了关于 Nginx 的 alpine 镜像。而在实际使用过程中,笔者更多的是使用 Tengine,所以根据官方 Dockerfile 的参考,笔者自行编写了 Tengine 镜像的 Dockerfile,希望能抛砖引玉,各位能够批评指正。

FROM alpine:3.3
MAINTAINER ChasonTang <[email protected]>
ENV TENGINE_VERSION 2.1.2
ENV CONFIG "\
--prefix=/etc/nginx \
--sbin-path=/usr/sbin/nginx \
--conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log \
--http-log-path=/var/log/nginx/access.log \
--pid-path=/var/run/nginx.pid \
--lock-path=/var/run/nginx.lock \
--http-client-body-temp-path=/var/cache/nginx/client_temp \
--http-proxy-temp-path=/var/cache/nginx/proxy_temp \
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
--http-scgi-temp-path=/var/cache/nginx/scgi_temp \
--user=nginx \
--group=nginx \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_addition_module \
--with-http_sub_module \
--with-http_dav_module \
--with-http_flv_module \
--with-http_mp4_module \
--with-http_gunzip_module \
--with-http_gzip_static_module \
--with-http_random_index_module \
--with-http_secure_link_module \
--with-http_auth_request_module \
--with-mail \
--with-mail_ssl_module \
--with-file-aio \
--with-http_spdy_module \
--with-ipv6 \
--with-jemalloc \
"
ADD ngx_user.patch /
ADD repositories /etc/apk/repositories
RUN \
addgroup -S nginx \
&& adduser -D -S -h /var/cache/nginx -s /sbin/nologin -G nginx nginx \
&& apk add --no-cache --virtual .build-deps \
gcc \
libc-dev \
make \
openssl-dev \
pcre-dev \
zlib-dev \
linux-headers \
curl \
jemalloc-dev \
&& curl "http://tengine.taobao.org/download/tengine-$TENGINE_VERSION.tar.gz" -o tengine.tar.gz \
&& mkdir -p /usr/src \
&& tar -zxC /usr/src -f tengine.tar.gz \
&& rm tengine.tar.gz \
&& cd /usr/src/tengine-$TENGINE_VERSION/src/os/unix/ \
&& mv /ngx_user.patch ./ngx_user.patch \
&& patch ngx_user.c ngx_user.patch \
&& rm ngx_user.patch \
&& cd ../../../ \
# && cd /usr/src/tengine-$TENGINE_VERSION \
&& ./configure $CONFIG --with-debug \
&& make \
&& mv objs/nginx objs/nginx-debug \
&& ./configure $CONFIG \
&& make \
&& make install \
&& rm -rf /etc/nginx/html/ \
&& mkdir /etc/nginx/conf.d/ \
&& mkdir -p /usr/share/nginx/html/ \
&& install -m644 html/index.html /usr/share/nginx/html/ \
&& install -m644 html/50x.html /usr/share/nginx/html/ \
&& install -m755 objs/nginx-debug /usr/sbin/nginx-debug \
&& strip /usr/sbin/nginx* \
&& runDeps="$( \
scanelf --needed --nobanner /usr/sbin/nginx \
| awk '{ gsub(/,/, "\nso:", $2); print "so:" $2 }' \
| sort -u \
| xargs -r apk info --installed \
| sort -u \
)" \
&& apk add --virtual .nginx-rundeps $runDeps \
&& apk del .build-deps \
&& rm -rf /usr/src/nginx-$NGINX_VERSION \
&& apk add --no-cache gettext \
\
# forward request and error logs to docker log collector
&& ln -sf /dev/stdout /var/log/nginx/access.log \
&& ln -sf /dev/stderr /var/log/nginx/error.log
COPY nginx.conf /etc/nginx/nginx.conf
COPY nginx.vh.default.conf /etc/nginx/conf.d/default.conf
EXPOSE 80 443
CMD ["nginx", "-g", "daemon off;"]

我们知道,Docker 可以根据 Dockerfile 构建镜像,上面就是笔者写的 Dockerfile。首先,使用 FROM 指令指定此镜像的基镜像为 alpine:3.3,第二行为 Dockerfile 维护者声明,然后使用两个 ENV 指令声明两个环境变量,一个指定 Tengine 需要获取的版本号,一个则是编译安装选项。这里暂时不讲解,然后将一个补丁文件和 alpine 镜像源配置文件复制到容器内,实际上是因为 tengine v2.1.2 存在着一个遗留的 glibc bug,会导致编译时出错,上游 Nginx 的最新代码已经修复,而 tengine 的开发分支上面也已经修复了这个问题,笔者前不久提 issue 将此补丁修正了 tengine v2.1.3 分支的代码,但是很可惜,v2.1.3 版本尚未有正式发布,所以只能先使用补丁手动修复此问题。至于镜像源,则是因为国内存在着网络问题,导致 apk 包管理命令无法成功下载各个依赖项,所以将其指定为了国内源,如果正式使用则可以移除这两个文件。

然后就是使用 RUN 命令执行代码,这里大家可以看到笔者使用 && 和 \ 将所有的指令都压缩为了一行,这里是有两个原因:

RUN 指令不会保存上一条指令的工作路径,每条 RUN 指令都只会将工作目录指定为 / 目录
一条 Dockerfile 中的指令就会产生一次镜像的提交,换言之,减少 Dockerfile 中的指令就可以提高镜像的复用水平
然后就是使用 apk 包管理命令下载安装包括编译器等依赖项,并且将这些依赖项标记为 .build-deps 组,便于后面将其卸载清理。然后就是非常常规的思路,./configure && make && make install,编译选项都是非常中规中矩的,基本熟悉 Nginx 编译的朋友都能看懂。但是上面可以注意到,Nginx 被编译了两次,一次开启了 --with-debug 参数,一次没有,这是因为在很多情况下,我们需要 Nginx 提供 debug 级别的监控日志,特别是在开发环境下,所以就编译了两次,便于使用。然后后面使用字符串分析处理将 Tengine 的运行时依赖项提取出来,标记为 .nginx-rundeps 然后卸载 .build-deps,最后则是两个符号链接将 accessLog 和 errorLog 链接到标准输入输出,这样我们就能使用 docker logs 命令方便的查看日志了。最后则是复制自定义的 Nginx 配置文件,然后使用 nginx -g daemon off; 让 Nginx 以前台进程方式运行。
总结

到这里已经讲完了 Docker 在生产开发中的正确使用方法,Docker 也确实是一样不可多得的好工具,祝愿大家早日使用 Docker 提升自己的生产力。

本文运维安全相关术语:linux服务器代维 linux服务器搭建 运维管理 运维工程师 企业安全文章 企业安全管理 cf安全系统检测到游戏数据异常

分页:12
转载请注明
本文标题:Docker容器配置Nginx实例分享
本站链接:http://www.codesec.net/view/485461.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 运维安全 | 评论(0) | 阅读(114)