几周前,我想试试看Docker是如何运行在云/共享宿主机类似的环境中。当时,Docker正好发布了1.4版本,1.4版本带来了额外的安全和身份认证特性,另外Docker machine也可以自动化创建并运行一个远程Docker实例。共享主机环境通常基于某个公共网关建立,网关可用于管理大量流入和流出的流量,包括FTP和SSH。环境中最大的部分(与冰山没有什么不同)会“隐藏”在这些网关后面的私有网络中。因此,我的问题是有没有一种方式可以使得Docker拥有类似行为的网关,包含多租户支持和你所期望的所有功能?事实证明,有。Docker二进制文件扮演着3种角色:Docker 命令行 -> 使得Docker易用且非常简单
Docker Daemon -> 在幕后默默做着苦差事
Docker init -> 做幕后的早期容器设置
命令行和Docker Daemon主要基于HTTP协议来通信。我说“主要”是因为有几个API会“拦截”连接,尤其是container/attach命令,它又称为“forward my container’s console”。网上常见的文章都推荐设置一个Nginx反向代理,并添加基本的身份认证,以保证安全。不幸的是,这种方法有两个缺点:现有的Docker客户端无法与HTTP基础身份认证通信
当Docker拦截连接的时候,现存的Nginx会完全丢失连接
关于认证的问题,我推荐使用Docker的TLS认证,因为它们支持开箱即用。同时,使用Lua magic(译者注:Lua里的Magic字符),我们可以使用它们作为“公钥”来达到适当的平衡。那我们应该怎么处理第二个问题(Nginx丢失连接)呢?如果确认拦截方式,那事情就变得简单多了ÿ