Docker 容器化多应用部署

对于云上部署一直没有找到一个比较简单舒服的方式，花了点时间终于把 Docker 常用的一个基本套路跑通了，本文结合 Docker + Nginx + Letsencrypt 在同一台 Linux 服务器上部署多个应用，让我们这些低流量单鸡也能轻松部署多个站点，并且让其支持 HTTPS 访问，文中以 Ruby/Sinatra 应用为例，当然不局限于此，你也可以用同样的方法来部署 Python 、 PHP 或者静态站点。

Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化；

初识 Docker

这一节简单介绍了我个人所理解使用 Docker 的最基本的概念，不作深入展开讨论，更多的可以查看 Docker 中文文档 ，如果你已经使用过 Docker 可以跳过本节。

镜像 Image

镜像就像以前我们安装 Windows 系统所用的系统光盘，通过 “还原” 可以复制一份系统出来；这就和 Docker 的镜像概念有些类似，只是这个镜像更自动化、高度扩展、内容更丰富，我们的 Web 应用就打包在这个里面。

Windows 年代不是很流行 GHOST 吗，一键 GHOST 选择一个后缀名为 .gho 的文件还原系统，那时候我们只需要制作好系统镜像，然后把镜像文件刻录成光盘就是一个系统盘了，给别人来个 “一键还原” 就克隆出一台一摸一样的操作系统。

容器 Container

同上的概念，容器可以看作通过一个系统光盘还原出的系统，这个系统是我们平时使用的系统，当然你还可以抹掉重装，而我们开机关机（Run/Stop）都是针对于系统（容器），容器是从一个镜像生成出来的。

Dockerfile

我们通过一个 Dockerfile 来描述一个镜像（应用），这个应用可以从本地进行编译，也可以从远端进行拉取（事先编译好后上传到到服务器），比如你可以执行 docker run hello-world 来从远端拉取一个已经编译好了的镜像到本地并运行。

下面以一个 Ruby App 的 Dockerfile 为例来构造一个镜像：

FROM ruby:2.5.1-alpine         // 指定  Ruby  版本和 linux 系统

WORKDIR /app                   // 容器内的工作目录
ADD . /app                     // 拷贝当前目录到容器中

RUN bundle install --system    // 在容器内拉取 ruby app 所需依赖

EXPOSE 80                      // 将容器内的 80 端口暴露出来

CMD ["ruby", "app.rb", "-p", "80", "-o", "0.0.0.0"]    // ruby app.rb -p 80 -o 0.0.0.0

然后通过 build 命令来将这个 Dockerfile 编译成镜像，并指定镜像名为 myapp：

docker build -t myapp .

编译会执行 Dockerfile 中描述的各种指令，如下载系统-拷贝目录-拉取依赖-执行 SHELL 命令等等；但这时候这个容器并没有跑起来，只是被编译成镜像了而已，可以通过 docker images 查看：

REPOSITORY  TAG     IMAGE ID      CREATED       SIZE
myapp       latest  1dd7b4ab48b0  1 minute ago  106MB

然后执行 docker run 就可以生成一个容器跑起来了。

docker run -d myapp

• -d:  后台运行容器
• --name 指定一个容器的名字
• ...

Docker Compose

容器运行可以有很多参数，比如指定映射宿主主机的端口、环境变量等等，包在一个 docker run 命令后就太麻烦了，所以通常用 docker-compose 来组织运行，它可以运行多个容器，并且可以指定依赖关系，以 YAML 格式存储可读性更高。

version: '3'                            // docker-compose 版本

services:                               // 组织哪些容器
  myapp:                                // 第一个容器
    image: myapp                        // 镜像名
    container_name: myapp               // 容器名
    restart: always                     // 容器重启策略
    environment:                        // 环境变量
      - VIRTUAL_HOST=myapp.com          // nginx-proxy 所用域名
      - LETSENCRYPT_HOST=myapp.com      // letsencrypt-nginx-proxy-companion
      - LETSENCRYPT_EMAIL=myapp@yo.com  // letsencrypt-nginx-proxy-companion
      - REDIS_URL=redis://redis:6379    // Redis 连接URL
    networks:                           // 网络 (用于容器间通信)
      - nginx-proxy
      - redis-net
    depends_on:                         // 依赖  redis  容器提供的服务
      - redis

  redis:
    image: redis
    container_name: redis
    hostname:  redis
    restart: always
    networks:
      - redis-net
    command: ["redis-server", "--appendonly", "yes"]
    volumes:
      - 'redis-data:/data'

networks:                               // 定义网络
  nginx-proxy:
    external:
      name: nginx-proxy
  redis-net:
    driver: bridge

volumes:
  redis-data:

通过 docker-compose up 命令来执行这一系列容器构建：

docker-compose up -d

网络 Network

容器之间是通过 Docker 的虚拟网络来通信的，在 docker-compose.yml 中 Docker 会自动为每一个容器创建一个默认的网络，我们可以通过指定网络来建立通信，如果要跨 docker-compose 容器通信就需要定义外部网络(external) 来实现了；

我们可以通过 docker network 命令创建一个网络：

docker network create redis-net

Docker Compose 的默认网络模式是 bridge，关于网络模式更多信息可以查看官方文档 Networking in Compose 。

持久化 Volume

容器的生命周期是没有保障的，挂了的话可能随时可能会通过镜像重新创建，如果重新创建容器，那数据就都没有了，那我们存在容器里的数据就很不安全，所以这时候就有了 Volume 的概念可以让我们把某些目录或文件映射到宿主主机，不受容器生命周期而删除掉，当然，如果是要做数据的安全备份那又是另外一个话题了，这里只是介绍如何把容器内的数据保存到主机上。

Nginx-proxy

重要的话题来了，如何在一台机子上暴露多个容器的服务到外网呢？我们可以使用 nginx-proxy 来自动处理 Docker Nginx 反向代理，实现同一台服务器上运行多个容器应用，分别绑定各自不同的域名进行访问。

Docker 提供 inspect 命令可以在运行时获取一个容器的元信息，比如 IP、端口等，和另一个 events 命令来获取一些容器启动、停止的钩子回调，nginx-proxy 正式通过这些 API 来自动生成 Nginx 反向代理的回调，关于 Docker 自动 Nginx 反响代理可以查看这篇文章 《Automated Nginx Reverse Proxy for Docker》 。

我们可以建立一个 nginx-proxy 用来反向代理的容器配置、Nginx 配置等等，目录结构大致如下：

.
└── nginx-proxy
    ├── docker-compose.yml
    └── nginx
        ├── certs            // 存放 SSL 证书
        ├── conf.d
        │   └── default.conf // 后面自动生成

你需要切到然后切到 nginx-proxy 目录执行 Docker 相关操作，下面例子的 volumes 都使用的相对路径。

下面看一个例子 docker-compose.yml :

version: '3'

services:
  nginx-proxy:
    image: jwilder/nginx-proxy
    container_name: nginx-proxy
    ports: 
      - "80:80"
    restart: always
    volumes:
      - ./nginx/conf.d:/etc/nginx/conf.d
      - /var/run/docker.sock:/tmp/docker.sock:ro
      - ./nginx/nginx.tmpl:/etc/docker-gen/templates/nginx.tmpl:ro

networks:
  default:
    external:
      name: nginx-proxy

运行之前我们需要先下载 nginx-gen 所需的 nginx.tmpl 模版：

curl https://raw.githubusercontent.com/jwilder/nginx-proxy/master/nginx.tmpl > ./nginx/nginx.tmpl

现在我们可以通过 docker-compose up 跑起来 nginx-proxy，并加入到名为 nginx-proxy 的网络中，这时候就会启动自动监听其他容器的启动事件，并自动生成 Nginx 配置：

nginx-proxy    | dockergen.1 | 2018/09/10 11:13:57 Received event die for container a08a5c556994
nginx-proxy    | dockergen.1 | 2018/09/10 11:13:58 Received event stop for container a08a5c556994
nginx-proxy    | dockergen.1 | 2018/09/10 11:13:58 Generated '/etc/nginx/conf.d/default.conf' from 2 containers
nginx-proxy    | dockergen.1 | 2018/09/10 11:13:58 Running 'nginx -s reload'
nginx-proxy    | dockergen.1 | 2018/09/10 11:13:59 Received event start for container a08a5c556994
nginx-proxy    | dockergen.1 | 2018/09/10 11:13:59 Generated '/etc/nginx/conf.d/default.conf' from 3 containers
nginx-proxy    | dockergen.1 | 2018/09/10 11:13:59 Running 'nginx -s reload'
nginx-proxy    | dockergen.1 | 2018/09/10 11:14:00 Contents of /etc/nginx/conf.d/default.conf did not change. Skipping notification 'nginx -s reload'

现在你再挂载其他容器，并向外暴露 80 端口并通过环境变量 VIRTUAL_HOST 指定绑定域名即可访问了。

Let's Encrypt

如今 HTTPS 已经成为标配，苹果爸爸在 iOS 上甚至要求默认必须启用 HTTPS 网络请求访问，可见其重要性， Let's Encrypt 是一个免费的 SSL 证书颁发机构，也可以通过 certbot 之类的 工具 来自动生成或更新，不过搭配 nginx-proxy 则可以用一个更为方便的东西叫 JrCs/docker-letsencrypt-nginx-proxy-companion 来创建、续订 Let's Encrypt 证书，有一张图很好的解释了它们的工作原理：

继续上面的例子，修改 docker-compose.yml 如下：

version: '2'

services:
  nginx-proxy:
    image: jwilder/nginx-proxy
    container_name: nginx-proxy
    labels:
        com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true"
    ports: 
      - "80:80"
      - "443:443"
    restart: always
    volumes:
      - ./nginx/conf.d:/etc/nginx/conf.d
      - ./nginx/vhost.d:/etc/nginx/vhost.d
      - ./nginx/html/:/usr/share/nginx/html
      - ./certs:/etc/nginx/certs
      - /var/run/docker.sock:/tmp/docker.sock:ro
      - ./nginx/nginx.tmpl:/etc/docker-gen/templates/nginx.tmpl:ro

  letsencrypt-nginx-proxy-companion:
    image: jrcs/letsencrypt-nginx-proxy-companion
    container_name: letsencrypt-nginx-proxy-companion
    volumes_from:
      - nginx-proxy
    volumes:
      - ./certs:/etc/nginx/certs:rw
      - /var/run/docker.sock:/var/run/docker.sock:ro
    restart: always

networks:
  default:
    external:
      name: nginx-proxy

这里我们新增了 443 端口为了启用 HTTPS，并引 letsencrypt-nginx-proxy-companion 用来自动生成 letsencrypt 证书，现在你可以通过 https 访问了，一条龙自动化服务真的感觉不错哦～