Telegram Group & Telegram Channel
Telegram Group » Taiwan » DevOps » Telegram Webview » Post 1475
DevOps
🏗️ Гайд: Эффективная оркестрация контейнеров с Docker в продакшн-среде

Ниже — подробное руководство для продвинутых пользователей, с примерами из реальной практики, кодом и комментариями.

1️⃣ Выбор инструмента оркестрации

Docker предоставляет базовые возможности, но для продакшн-оркестрации требуется полноценный движок:

Docker Swarm — встроенный, подходит для малых и средних проектов
Kubernetes (K8s) — промышленный стандарт, подходит для масштабных систем
Nomad (от HashiCorp) — легковесная альтернатива

👉 Для быстрого старта используй Swarm, для больших систем — Kubernetes.

2️⃣ Архитектура кластера

Рекомендуемый минимум:

• 3 manager-ноды (quorum, HA)
• 2+ worker-ноды
• overlay-сеть
• load balancer (например nginx, HAProxy)
• private registry (Harbor, GitLab Registry)

Инициализация кластера:


docker swarm init --advertise-addr MANAGER_IP
docker swarm join --token <join-token> MANAGER_IP:2377


Создание overlay-сети:


docker network create --driver overlay --attachable my-overlay


---

3️⃣ Развёртывание сервисов

Пример docker-compose.yml (версии 3 для Swarm):


version: '3.9'

services:
  web:
    image: mycompany/webapp:latest
    replicas: 5
    deploy:
      update_config:
        parallelism: 2
        delay: 10s
      restart_policy:
        condition: on-failure
    networks:
      - frontend
    ports:
      - "80:80"

networks:
  frontend:
    driver: overlay


Запуск:


docker stack deploy -c docker-compose.yml mystack


---

4️⃣ Zero-Downtime Updates

Добавь healthcheck в Dockerfile:


HEALTHCHECK --interval=30s --timeout=10s \
  CMD curl -f http://localhost/health || exit 1


В docker-compose.yml уже используется update_config → обновления происходят без даунтайма (по 2 контейнера каждые 10s, с проверкой healthcheck).

---

5️⃣ Резервное копирование

Полезные команды:


docker swarm unlock-key
docker swarm join-token manager
docker node ls


Бэкап Raft:


docker container stop $(docker container ls -q --filter name=swarm)
cp -r /var/lib/docker/swarm ~/swarm-backup


6️⃣ Мониторинг и логирование

Prometheus + Grafana — метрики
ELK Stack / Loki — логи

Пример запуска cAdvisor:


docker run -d \
  -p 9323:9323 \
  --name cadvisor \
  --volume=/:/rootfs:ro \
  --volume=/var/run:/var/run:ro \
  --volume=/sys:/sys:ro \
  --volume=/var/lib/docker/:/var/lib/docker:ro \
  google/cadvisor:latest


7️⃣ Безопасность

• Запуск от непривилегированного пользователя:


USER appuser


• Read-only root filesystem:


deploy:
  read_only: true


• Ограничение capability:


deploy:
  cap_drop:
    - ALL


• Сканирование образов (Trivy):


trivy image mycompany/webapp:latest


• Не использовать latest тег:


image: mycompany/webapp:1.3.2


8️⃣ Оптимизация Dockerfile

multi-stage build
минимизируй слои
данные — во внешние volume

Пример multi-stage:


FROM node:18 AS build
WORKDIR /app
COPY . .
RUN npm install && npm run build

FROM nginx:alpine
COPY --from=build /app/build /usr/share/nginx/html


9️⃣ Управление секретами

Создание секрета:


echo "my-secret-value" | docker secret create db_password -


Использование в docker-compose.yml:


secrets:
  - db_password


В контейнере доступно как /run/secrets/db_password.

🔟 CI/CD

Пример пайплайна (GitLab):


stages:
  - build
  - deploy

build:
  stage: build
  script:
    - docker build -t registry.example.com/myapp:$CI_COMMIT_SHA .
    - docker push registry.example.com/myapp:$CI_COMMIT_SHA

deploy:
  stage: deploy
  script:
    - docker service update --image registry.example.com/myapp:$CI_COMMIT_SHA mystack_web


🎯 Заключение

Эффективная оркестрация =

грамотная архитектура
rolling updates + healthchecks
безопасность (secrets, cap_drop, read_only)
мониторинг и логирование
CI/CD интеграция
регулярный бэкап

👉 Swarm = быстрый старт, Kubernetes = масштабирование.
www.tg-me.com/tw/DevOps/com.DevOPSitsec/1475
2.2K views



tg-me.com/DevOPSitsec/1475
Create:
Last Update:

🏗️ Гайд: Эффективная оркестрация контейнеров с Docker в продакшн-среде

Ниже — подробное руководство для продвинутых пользователей, с примерами из реальной практики, кодом и комментариями.

1️⃣ Выбор инструмента оркестрации

Docker предоставляет базовые возможности, но для продакшн-оркестрации требуется полноценный движок:

Docker Swarm — встроенный, подходит для малых и средних проектов
Kubernetes (K8s) — промышленный стандарт, подходит для масштабных систем
Nomad (от HashiCorp) — легковесная альтернатива

👉 Для быстрого старта используй Swarm, для больших систем — Kubernetes.

2️⃣ Архитектура кластера

Рекомендуемый минимум:

• 3 manager-ноды (quorum, HA)
• 2+ worker-ноды
• overlay-сеть
• load balancer (например nginx, HAProxy)
• private registry (Harbor, GitLab Registry)

Инициализация кластера:


docker swarm init --advertise-addr MANAGER_IP
docker swarm join --token <join-token> MANAGER_IP:2377


Создание overlay-сети:


docker network create --driver overlay --attachable my-overlay


---

3️⃣ Развёртывание сервисов

Пример docker-compose.yml (версии 3 для Swarm):


version: '3.9'

services:
  web:
    image: mycompany/webapp:latest
    replicas: 5
    deploy:
      update_config:
        parallelism: 2
        delay: 10s
      restart_policy:
        condition: on-failure
    networks:
      - frontend
    ports:
      - "80:80"

networks:
  frontend:
    driver: overlay


Запуск:


docker stack deploy -c docker-compose.yml mystack


---

4️⃣ Zero-Downtime Updates

Добавь healthcheck в Dockerfile:


HEALTHCHECK --interval=30s --timeout=10s \
  CMD curl -f http://localhost/health || exit 1


В docker-compose.yml уже используется update_config → обновления происходят без даунтайма (по 2 контейнера каждые 10s, с проверкой healthcheck).

---

5️⃣ Резервное копирование

Полезные команды:


docker swarm unlock-key
docker swarm join-token manager
docker node ls


Бэкап Raft:


docker container stop $(docker container ls -q --filter name=swarm)
cp -r /var/lib/docker/swarm ~/swarm-backup


6️⃣ Мониторинг и логирование

Prometheus + Grafana — метрики
ELK Stack / Loki — логи

Пример запуска cAdvisor:


docker run -d \
  -p 9323:9323 \
  --name cadvisor \
  --volume=/:/rootfs:ro \
  --volume=/var/run:/var/run:ro \
  --volume=/sys:/sys:ro \
  --volume=/var/lib/docker/:/var/lib/docker:ro \
  google/cadvisor:latest


7️⃣ Безопасность

• Запуск от непривилегированного пользователя:


USER appuser


• Read-only root filesystem:


deploy:
  read_only: true


• Ограничение capability:


deploy:
  cap_drop:
    - ALL


• Сканирование образов (Trivy):


trivy image mycompany/webapp:latest


• Не использовать latest тег:


image: mycompany/webapp:1.3.2


8️⃣ Оптимизация Dockerfile

multi-stage build
минимизируй слои
данные — во внешние volume

Пример multi-stage:


FROM node:18 AS build
WORKDIR /app
COPY . .
RUN npm install && npm run build

FROM nginx:alpine
COPY --from=build /app/build /usr/share/nginx/html


9️⃣ Управление секретами

Создание секрета:


echo "my-secret-value" | docker secret create db_password -


Использование в docker-compose.yml:


secrets:
  - db_password


В контейнере доступно как /run/secrets/db_password.

🔟 CI/CD

Пример пайплайна (GitLab):


stages:
  - build
  - deploy

build:
  stage: build
  script:
    - docker build -t registry.example.com/myapp:$CI_COMMIT_SHA .
    - docker push registry.example.com/myapp:$CI_COMMIT_SHA

deploy:
  stage: deploy
  script:
    - docker service update --image registry.example.com/myapp:$CI_COMMIT_SHA mystack_web


🎯 Заключение

Эффективная оркестрация =

грамотная архитектура
rolling updates + healthchecks
безопасность (secrets, cap_drop, read_only)
мониторинг и логирование
CI/CD интеграция
регулярный бэкап

👉 Swarm = быстрый старт, Kubernetes = масштабирование.

BY DevOps


Warning: Undefined variable $i in /var/www/tg-me/post.php on line 283

Share with your friend now:
tg-me.com/DevOPSitsec/1475

View MORE
Open in Telegram


DevOps Telegram | DID YOU KNOW?

Date: |

What Is Bitcoin?

Bitcoin is a decentralized digital currency that you can buy, sell and exchange directly, without an intermediary like a bank. Bitcoin’s creator, Satoshi Nakamoto, originally described the need for “an electronic payment system based on cryptographic proof instead of trust.” Each and every Bitcoin transaction that’s ever been made exists on a public ledger accessible to everyone, making transactions hard to reverse and difficult to fake. That’s by design: Core to their decentralized nature, Bitcoins aren’t backed by the government or any issuing institution, and there’s nothing to guarantee their value besides the proof baked in the heart of the system. “The reason why it’s worth money is simply because we, as people, decided it has value—same as gold,” says Anton Mozgovoy, co-founder & CEO of digital financial service company Holyheld.

Should You Buy Bitcoin?

In general, many financial experts support their clients’ desire to buy cryptocurrency, but they don’t recommend it unless clients express interest. “The biggest concern for us is if someone wants to invest in crypto and the investment they choose doesn’t do well, and then all of a sudden they can’t send their kids to college,” says Ian Harvey, a certified financial planner (CFP) in New York City. “Then it wasn’t worth the risk.” The speculative nature of cryptocurrency leads some planners to recommend it for clients’ “side” investments. “Some call it a Vegas account,” says Scott Hammel, a CFP in Dallas. “Let’s keep this away from our real long-term perspective, make sure it doesn’t become too large a portion of your portfolio.” In a very real sense, Bitcoin is like a single stock, and advisors wouldn’t recommend putting a sizable part of your portfolio into any one company. At most, planners suggest putting no more than 1% to 10% into Bitcoin if you’re passionate about it. “If it was one stock, you would never allocate any significant portion of your portfolio to it,” Hammel says.

DevOps from tw


🏗️ Гайд: Эффективная оркестрация контейнеров с Docker в продакшн-средеНиже — подробное руководство для продвинутых пользователей

 DevOps TG
Webview: 1475
DevOps.Telegram Webview
DevOps Telegram TG Channel
Telegram Updated:
Telegram DevOps
FROM USA