閱讀308 返回首頁    go 阿裏雲 go 技術社區[雲棲]

LXD 2.0 係列(六):遠程主機及容器遷移

遠程協議

LXD 2.0 支持兩種協議:

  • LXD 1.0 API:這是在客戶端和 LXD 守護進程之間使用的 REST API,以及在 LXD 守護進程間複製/移動鏡像和容器時使用的 REST API。
  • Simplestreams:Simplestreams 協議是 LXD 客戶端和守護進程使用的隻讀、僅針對鏡像的協議,用於客戶端和 LXD 守護進程獲取鏡像信息以及從一些公共鏡像服務器(如 Ubuntu 鏡像)導入鏡像。

以下所有內容都將使用這兩個協議中的第一個。

安全

LXD API 的驗證是通過客戶端證書在 TLS 1.2 上使用最近的密鑰驗證的。 當兩個 LXD 守護進程必須直接交換信息時,源守護程序生成一個臨時令牌,並通過客戶端傳輸到目標守護程序。 此令牌僅可用於訪問特定流,並且會被立即撤銷,因此不能重新使用。

為了避免中間人攻擊,客戶端工具還將源服務器的證書發送到目標服務器。這意味著對於特定的下載操作,目標服務器會被提供源服務器的 URL、所需資源的一次性訪問令牌以及服務器應該使用的證書。 這可以防止中間人攻擊,並且隻允許臨時訪問所傳輸的對象。

網絡需求

LXD 2.0 使用這樣一種模型,某個操作的目標(接收端)直接連接到源以獲取數據。

這意味著你必須確保目標服務器可以直接連接到源、可以更新任何所需的防火牆。

我們有個允許反向連接的計劃,允許通過客戶端代理本身以應對那些嚴格的防火牆阻止兩台主機之間通信的罕見情況。

與遠程主機交互

LXD 使用的是“遠程”的概念,而不是讓我們的用戶總是提供主機名或 IP 地址,然後在他們想要與遠程主機交互時驗證證書信息。

默認情況下,唯一真正的 LXD 遠程配置是 local:,這也是默認的遠程(所以你不必輸入它的名稱)。這個本地(local:)遠程使用 LXD REST API 通過 unix 套接字與本地守護進程通信。

添加一台遠程主機

假設你已經有兩台裝有 LXD 的機器:你的本機以及遠程那台我們稱為“foo”的主機。

首先你需要確保“foo”正在監聽網絡,並設置了一個密碼,以便得到一個遠程 shell,運行:



    

  1. lxc config set core.https_address [::]:8443
    2. 

  2. lxc config set core.trust_password something-secure
    3. 



在你本地 LXD 上,你需要使它對網絡可見,這樣我們可以從它傳輸容器和鏡像:




  1. lxc config set core.https_address [::]:8443


現在已經在兩端完成了守護進程的配置,你可以添加“foo”到你的本地客戶端:




  1. lxc remote add foo 1.2.3.4


(將 1.2.3.4 替換成你的 IP 或者 FQDN)


看上去像這樣:




    

  1. stgraber@dakara:~$ lxc remote add foo 2607:f2c0:f00f:2770:216:3eff:fee1:bd67
    2. 

  2. Certificate fingerprint: fdb06d909b77a5311d7437cabb6c203374462b907f3923cefc91dd5fce8d7b60
    3. 

  3. ok (y/n)? y
    4. 

  4. Admin password for foo: 
    5. 

  5. Client certificate stored at server: foo
    6. 



你接著可以列出遠端服務器,你可以在列表中看到“foo”:




    

  1. stgraber@dakara:~$ lxc remote list
    2. 

  2. +-----------------+-------------------------------------------------------+---------------+--------+--------+
    3. 

  3. | NAME | URL | PROTOCOL | PUBLIC | STATIC |
    4. 

  4. +-----------------+-------------------------------------------------------+---------------+--------+--------+
    5. 

  5. | foo | https://[2607:f2c0:f00f:2770:216:3eff:fee1:bd67]:8443 | lxd | NO | NO |
    6. 

  6. +-----------------+-------------------------------------------------------+---------------+--------+--------+
    7. 

  7. | images | https://images.linuxcontainers.org:8443 | lxd | YES | NO |
    8. 

  8. +-----------------+-------------------------------------------------------+---------------+--------+--------+
    9. 

  9. | local (default) | unix:// | lxd | NO | YES |
    10. 

  10. +-----------------+-------------------------------------------------------+---------------+--------+--------+
    11. 

  11. | ubuntu | https://cloud-images.ubuntu.com/releases | simplestreams | YES | YES |
    12. 

  12. +-----------------+-------------------------------------------------------+---------------+--------+--------+
    13. 

  13. | ubuntu-daily | https://cloud-images.ubuntu.com/daily | simplestreams | YES | YES |
    14. 

  14. +-----------------+-------------------------------------------------------+---------------+--------+--------+
    15. 




與它交互


好了,所以我們已經有了一台定義好的遠程服務器,我們現在可以做些什麼?


現在,就如你看到的,唯一的不同是你必須告訴 LXD 要哪台主機運行。


比如:




  1. lxc launch ubuntu:14.04 c1


它會在默認主機(lxc remote get-default),也就是你的本機上運行。




  1. lxc launch ubuntu:14.04 foo:c1


這個會在 foo 上運行。


列出遠程主機正在運行的容器可以這麼做:




    

  1. stgraber@dakara:~$ lxc list foo:
    2. 

  2. +------+---------+---------------------+-----------------------------------------------+------------+-----------+
    3. 

  3. | NAME | STATE | IPV4 | IPV6 | TYPE | SNAPSHOTS |
    4. 

  4. +------+---------+---------------------+-----------------------------------------------+------------+-----------+
    5. 

  5. | c1 | RUNNING | 10.245.81.95 (eth0) | 2607:f2c0:f00f:2770:216:3eff:fe43:7994 (eth0) | PERSISTENT | 0 |
    6. 

  6. +------+---------+---------------------+-----------------------------------------------+------------+-----------+
    7. 



你要記住的一件事是你需要在遠程主機上同時指定鏡像和容器。因此如果你在“foo”上有一個“my-image”的鏡像,並且希望從它創建一個“c2”的容器,你需要運行:




  1. lxc launch foo:my-image foo:c2


最後,就如你希望的那樣得到一個遠程容器的 shell:




  1. lxc exec foo:c1 bash



複製容器


在兩台主機間複製容器就如它聽上去那樣簡單:




  1. lxc copy foo:c1 c2


你會有一個新的從遠程“c1”複製過來的本地“c2”容器。這需要停止“c1”容器,但是你可以在運行的時候隻複製一個快照:




    

  1. lxc snapshot foo:c1 current
    2. 

  2. lxc copy foo:c1/current c3
    3. 




移動容器


除非你在做實時遷移(將會在之後的文章中講到),不然你需要在移動前先停止容器,接著就會如你預料的那樣。




    

  1. lxc stop foo:c1
    2. 

  2. lxc move foo:c1 local:
    3. 



這個例子等同於:




    

  1. lxc stop foo:c1
    2. 

  2. lxc move foo:c1 c1
    3. 




是如何工作的


正如你期望的那樣, 與遠程容器的交互時 LXD 使用的 REST API 並不是通過本地 Unix 套接字,而是通過 HTTPS 傳輸。


當兩個守護程序之間交互時會變得有些棘手,如複製和移動的情況。


在這種情況下會發生:


    

  1. 用戶運行lxc move foo:c1 c1
    2. 

  2. 客戶端聯係 local: 遠程以檢查是否現有“c1”容器。
    3. 

  3. 客戶端從“foo”獲取容器信息。
    4. 

  4. 客戶端從源“foo”守護程序請求遷移令牌。
    5. 

  5. 客戶端將遷移令牌以及源 URL 和“foo”的證書發送到本地 LXD 守護程序以及容器配置和周圍設備。
    6. 

  6. 然後本地 LXD 守護程序使用提供的令牌直接連接到“foo” a) 它連接到第一個控製 websocket    b) 它協商文件係統傳輸協議(zfs 發送/接收,btrfs 發送/接收或者純 rsync)    c) 如果在本地可用,它會解壓用於創建源容器的鏡像。這是為了避免不必要的數據傳輸。    d) 然後它會將容器及其任何快照作為增量傳輸。
    7. 

  7. 如果成功,客戶端會命令“foo”刪除源容器。
    8. 





原文發布時間為:2017-02-03


本文來自雲棲社區合作夥伴“Linux中國”




最後更新:2017-05-27 09:31:29
  上一篇:go  OpenSSL 在 Apache 和 Dovecot 下的使用(一) 
  下一篇:go  OpenSSL 在 Apache 和 Dovecot 下的使用(二)