Docker在Debian上如何实现高可用性

在 Debian 上实现 Docker 高可用的总体思路

• 以多节点 Docker Swarm 提供编排与调度，服务以多副本运行，配合健康检查与滚动更新实现自动故障恢复与无感升级。
• 入口采用 VIP + Keepalived + Nginx/HAProxy 的双活/主备负载均衡，保证控制面与数据面入口的高可用与快速切换。
• 有状态服务（如数据库）使用其内置高可用机制（例如 Redis Sentinel），并与 Swarm 的反向代理/健康检查联动。
• 数据与配置的持久化使用 外部存储（NFS/云盘） 或集群存储，避免单点。
• 建议至少 3 台 Debian 主机（可混合 manager/worker 角色），并开放 Swarm 必要端口：2377/TCP（集群管理）、7946/TCP+UDP（节点通信）、4789/UDP（覆盖网络 VXLAN）。

方案一 Docker Swarm 多节点编排

• 初始化与管理
  • 在主节点执行：docker swarm init --advertise-addr <MANAGER-IP>；其他节点加入：docker swarm join --token <TOKEN> <MANAGER-IP>:2377。
  • 建议部署 3 个管理节点 以实现管理平面高可用（Raft 多数派）。
• 网络与服务
  • 创建覆盖网络：docker network create --driver overlay --attachable my-overlay。
  • 部署示例服务：docker service create --name nginx --replicas 3 --publish published=8080,target=80 --network my-overlay nginx:latest。
• 高可用能力
  • 自动重启：docker service update --restart-condition any --restart-delay 5s nginx。
  • 滚动更新：docker service update --update-parallelism 2 --update-delay 10s --image nginx:1.25 nginx。
  • 健康检查：docker service update --health-cmd "curl -f http://localhost || exit 1" --health-interval 5s --health-retries 3 --health-timeout 2s nginx。
• 节点维护与灾备
  • 维护节点：docker node update --availability drain <NODE>；恢复：docker node update --availability active <NODE>。
  • 备份与恢复：定期备份 /var/lib/docker/swarm/（Raft 数据），必要时 docker swarm ca --rotate 轮换证书后在新节点恢复。

方案二 入口高可用与负载均衡

• 双活/主备 VIP
  • 在两台入口节点部署 Keepalived，配置 VRRP 虚拟 IP（VIP），脚本健康检查 Docker 或关键服务（如 docker service ls | grep my-service）。
  • 示例思路：state MASTER/BACKUP、priority 不同、virtual_ipaddress 指定 VIP，track_script 指向健康检查脚本。
• 负载均衡器
  • 在 VIP 所在主机运行 Nginx/HAProxy，后端指向 Swarm 服务的 Published 端口或内部 DNS 名称（如 tasks.）。
  • Nginx 示例片段：
    • upstream：upstream backend { server 10.0.1.11:8080; server 10.0.1.12:8080; }
    • server：listen 80; location / { proxy_pass http://backend; }
  • 为更快剔除异常实例，可构建带主动健康检查的 Nginx 镜像（集成 nginx_upstream_check_module），通过主动探测提升故障切换时效。

有状态服务的高可用实践

• Redis 主从 + Sentinel
  • 在 Swarm 中运行 1 主 2 从 Redis 容器，分别映射端口（如 6370/6371/6372），主从通过 replicaof 配置。
  • 部署 3 个 Sentinel 容器监控主节点，配置 sentinel monitor <master-name> <master-ip> <master-port> <quorum>，quorum 建议设为 2。
  • 应用连接 Sentinel 获取当前主节点，实现故障自动切换；注意容器网络可达性与密码/ACL 一致性。

数据持久化与运维监控

• 持久化与共享存储
  • 使用 NFS 或云块存储为数据库/上传目录提供卷，例如 Swarm 中以 volume 挂载 NFS：--mount type=volume,source=nfsvolume,target=/data,volume-driver=local,volume-opt=type=nfs,volume-opt=device=:/web,"volume-opt=o=addr=<NFS-IP>,rw,nfsvers=4,async"。
• 监控与日志
  • 部署 Prometheus + Grafana 监控容器与服务指标；使用 Logspout 或 Fluentd 做集中日志收集。
• 安全加固
  • 启用 TLS 管理通道，定期执行 docker swarm ca --rotate 轮换证书；限制管理端口 2377 的访问来源。