【swarm】关于docker swarm的平面隔离设置

最新推荐文章于 2023-01-10 09:49:15 发布
最新推荐文章于 2023-01-10 09:49:15 发布
阅读量674 收藏
点赞数
分类专栏: swarm docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/michaelwoshi/article/details/106062470
版权

一、平面隔离概念

 

为了提升兼容性和管理的便利性,一些产品在运维架构设计上的控制平面、用户平面和管理平面在缺省情况下没有隔离。

用户可以通过业务接口登录并管理设备,客观上使被攻击的可能性增大,攻击者可以较容易的通过业务接口尝试攻击管理平面。

因此,产品在运维架构设计上,要支持用户安装时,配置三面隔离:隔离控制平面、用户平面和管理平面,以保护管理平面不受外部攻击。

 

 

二、Swarm数据流量(平面)分类

 

Docker swarm 数据流量分为两个层面:

1. 控制管理流量(control and management plane traffic): 包括 swarm 管理消息,例如加入/退出 swarm 的请求,这些流量总是被加密的。

2.应用数据流量(Application data plane traffic): 包括容器之间的数据交换,以及容器与外部网络的数据交换。

 

 

三、Docker 启用swarm模式参数

 

# docker swarm --help

 

# docker swarm init --help

 

# docker swarm join --help

 

 

--listen-addr参数是管理者节点的docker服务所在的IP:PORT,也就是说,可以通过这个组合访问到该节点的docker服务。

--advertise-addr是广播地址,也就是其他节点加入该swarm集群时,需要访问的IP.

--datapath-addr是数据域地址,服务容器之间的流量将通过--datapath-addr接口发送

 

--listen-addr指出的是这个集群暴露给外界调用的HTTP API的socket地址。

添加--advertise-addr参数的原因是大多数情况下我们的主机都不只有一张网卡,而一个swarm集群需要辨明集群所在的子网络是哪张网卡的。

 

多网卡时,--advertise-addr 必须被指定,集群加入,离开和管理群的相关流量将通过--advertise-addr 接口发送

--datapath-addr如果不指定,则与 --advertise-addr 相同,服务容器之间的流量将通过--datapath-addr接口发送

--advertise-addr 和 --datapath-addr 的值,可以是 IP地址或者接口(网卡)名称:

IP地址: 192.168.1.1, --advertise-addr 192.168.1.1

接口名称: ens33, --datapath-addr ens33

 

默认情况下,所有群集流量都通过同一接口发送,包括用于维护群集本身的控制和管理流量以及往返服务容器的数据流量。

在Docker 17.06及更高版本中,可以在初始化或加入集群时通过传递  --datapath-addr  标志来分离此流量。

 

 

四、集群初始化后的端口监听

 

我们以单平面为例,查看集群初始化后的端口监听

在manager节点:

# docker swarm init --listen-addr 192.168.1.101:2377 --advertise-addr 192.168.1.101:2377 --data-path-addr ens33

 

在worker节点:

# docker swarm join --token SWMTKN-1-3siyil5mkdwgpmmnob5ainaxhr5q4sz9r5n17slhe2r2g83lu2-et21wwft0w3samzatx9aslcow 192.168.1.101:2377

 

在manager节点:

# ss -tan | grep 2377

在worker节点:

# ss -tan | grep 2377

可以看出,manager节点,会监听在--advertise-addr 的2377 端口上,worker节点用随机端口37492跟manager通讯。

 

五、参考 

 

Manage swarm service networks

https://octowhale.gitbooks.io/docker-doc-cn/engine/swarm/networking

 

FusionInsight所说的单平面,双平面三平面是什么?

https://www.jianshu.com/p/ce87bb8f88fc

 

docker单机、docker swarm 网络

https://www.jianshu.com/p/c76ecaa08a79

 

HunterMichaelG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全-防火墙安全加固
A soul tortured by desire
09-01 2566
网络安全-防火墙三面三层防御及安全加固
mongo-swarm:在Docker Swarm上引导MongoDB分片集群
02-02
使用单个命令,您可以将Mongos , Config和Data副本集部署到Docker Swarm上,形成一个高可用性的MongoDB集群,该集群能够在不中断服务的情况下承受多个节点的故障。 Docker堆栈由两个MongoDB副本集,两个Mongos实例...
Docker-Swarm速成
hyx1229的博客
06-27 720
使用 命令创建一个 Manager Node. 参数将 Manager Node 监听的IP设置为:.swarm 中的其他 Node 必须能访问 Manager Node 的 IP.输出包括将新节点加入 swarm 的命令。根据 标志的值,节点将作为Master或Worker加入。 例: 例:使用以下命令查看节点列表,节点 旁边的 表示你当前已经连接到此节点 例:使用以下命令查看节点的详情: 添加新的 Manager Node 到集群 在另一台机器运行 命令加入已存在的集群中 Manager Node
consul-系统学习7-常用参数,配置,命令
zhou920786312的博客
04-15 1108
一、常用参数 1.1 、advertise 广播地址 公网ip 公网ip可以与不同内网的机器搭建集群 内网IP 内网只可以填内网ip 用于广播给集群中其他节点 默认情况-bind 是广播地址。但是,在某些情况下,可能存在无法绑定的可路由地址。 如果地址不可路由,则节点将处于持续振荡状态,因为其他节点会将非可路由节点视为故障。 advertise可以解决这个问题。 1.2 、-config-file 配置文件的路径 配置文件中都是json格式的信息 该参数可以多次配置,后面文件中
docker swarm集群基本命令
奋斗的小鸟专栏
12-29 2682
docker swarm集群部署服务机器配置设置域名Swarm集群使用设置管理节点info查看swarm状态join-token查看管理节点命令和令牌查看节点信息join --token将工作节点添加到swarm中创建网络Service管理服务Node管理节点 官网:https://docs.docker.com/engine/swarm/ 功能亮点 与 Docker Engine 集成的集群管理:使用 Docker Engine CLI 创建一组 Docker Engine,您可以在其中部署应用程序服务
Docker-Swarm集群管理
最新发布
BASK2311的博客
01-10 4074
Docker Swarm是Docker的集群管理工具,它提供了标准的Docker API,所有任何已经与Docker守护程序通信的工具都可以使用Swarm轻松地扩展到多个主机。支持的工具包括Dokku、Docker Compose、Docker Machine和Jenkins等。compose、machine 和 swarm 是docker 原生提供的三大编排工具,简称docker三剑客。其官网地址复制代码Docker Swarm 和 Docker Compose。
docker-swarm:Docker Swarm和教程
05-09
码头工人 通过SMLee 编排 服务器编排的简单定义可以看作是“对多个服务器... Docker Swarm的构建成本比其他工具便宜,并且易于使用或管理,因此我尝试使用Swarm。 什么是Docker Swarm? 将Docker主机池转换为单个虚拟
基于Docker Compose和Swarm的Docker化之路
06-08
基于Docker Compose和Swarm的Docker化之路
DockerSwarm学习教程
02-02
Swarm是Docker公司在2014年12月初发布的一套较为简单的工具,用来管理Docker集群,它将一群Docker宿主机变成一个单一的,虚拟的主机。Swarm使用标准的DockerAPI接口作为其前端访问入口,换言之,各种形式的Docker...
vagrant-docker-swarm:Docker Swarm的无家可归游乐场
02-06
vagrant-docker-swarm:Docker Swarm的无家可归游乐场
Docker基础30--6.4 Docker三剑客之Swarm
weixin_43631940的博客
11-06 1156
docker swarm集群
docker swarm
D的博客
05-30 897
文章目录1.docker swarm 常用命令2. docker swarm 官网地址3.初始化节点3.1 初始化节点3.2 生成 manager 或者 worker 令牌3.3 查看 swarm 信息3.4 查看节点信息4.添加节点5.测试集群使用6. Docker Swarm Raft 协议     1.docker swarm 常用命令 [root@iZuf6gegyofu0xfk0fx5xwZ ~]# docker swarm -h Flag shorthand -h has b
Docker(六)Docker swarm
zk86547462的博客
10-19 744
官网 集群 测试需要4台服务器 4台机器安装 Docker 搭建集群 1.设置主节点docker swarm init --advertise-addr [自己的IP地址] [root@VM-0-7-centos ~]# docker swarm init --advertise-addr 172.27.0.7 Swarm initialized: current node (jw8laeer26282r3lacsug28a1) is now a manager. To add a worker to t
2 ha搭建_Docker Swarm集群搭建教程
weixin_42440389的博客
01-13 289
接下来通过实例演示一下如何使用 Swarm 来创建安全的集群。实例中包含 3 个管理节点和 3 个工作节点,如下图所示,可以根据需要自行调整管理节点和工作节点的数量、名称和 IP。每个节点都需要安装Docker,并且能够与 Swarm 的其他节点通信。如果配置有域名解析就更好了,这样在命令的输出中更容易识别出节点,也更有利于排除故障。在网络方面,需要在路由器和防火墙中开放如下端口...
TiKV 配置参数
weixin_42241611的博客
10-02 790
TiKV 的命令行参数支持一些可读性好的单位转换。
Docker Swarm简介
热门推荐
GSON的博客
04-20 2万+
一、什么是Docker Swarm Swarm是Docker公司推出的用来管理docker集群的平台,几乎全部用GO语言来完成的开发的,代码开源在https://github.com/docker/swarm,它是将一群Docker宿主机变成一个单一的虚拟主机,Swarm使用标准的Docker API接口作为其前端的访问入口,换言之,各种形式的DockerClient(compose,docker-py等)均可以直接与Swarm通信,甚至Docker本身都可以很容易的与Swarm集成,这大大方便了用户将.
平面隔离】运维架构设计的单平面,双平面和三平面
michaelwoshi的博客
05-11 2330
ws、om和bussiness不同的组网方式是为了保证业务量大的时候,维护操作和业务操作互不影响。 (1) ws ip:即web service ip,这个是供外部浏览器访问的ip地址,一般需要配置成外网可以ping通的ip地址,这个网段会部署接收外部访问的代理进程接口客户端请求。 (2) om ip:即management ip,这个是提供操作维护的网段ip地址,也就是说你通过界面进行操作(重启服务,安装服务等),首先收到请求的是ws ip网段请求代理进程,而我们的实际操作维护进程(controlle
Docker Swarm初步了解
qq_27546717的博客
07-06 1449

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值