Klasik bölümlere ayrılmış bir ağa (bir DMZ ağına ve aralarında bir yönlendirici / güvenlik duvarına sahip bir iç LAN ağına) ve 3 düğümde tüm yöneticilerden (Dm) bir Docker Swarm küme bileşiğim var.
Liman işçisi yönetici düğümlerini şu anda yerleştirme biçimimiz şudur (DMZ'deki "Dm'ler" e bakın):
| / \
Internet: \|/ |
----------------------------------------------------
DMZ : Dm Dm Dm
----------------------------------------------------
LAN : (some non containerized backend services)
DMZ'de işçi (Dw) olarak çalışan bazı ekstra düğümlerle bu tek kümeyi genişletmeye ve LAN içindeki yöneticileri (Dm) hareket ettirmeye yatırım yapmanın gerçek yararını bilmek istedim.
| / \
Internet: \|/ |
----------------------------------------------------
DMZ : Dw Dw
----------------------------------------------------
LAN : Dm Dm Dm + (some non containerized backend services)
Değişim için nedenim:
- Belirtildiği gibi, DMZ'de liman işçisi yönetici düğümleri bulundurmaktan kaçının; yöneticilerinizi dahili LAN'a taşıyın ve 2 işçiyi DMZ'ye yerleştirin.
- İşçi düğümlerine ters veya ileri proxy konteynerlerini yerleştirin, böylece her zamanki gibi DMZ'de istekleri dinlerler; Uygulama sunucularını veya NoSQL'i yöneticilere önbelleğe almalarını, böylece her zamanki gibi tekrar tekrar yerel ağa yerleştirme.
- İki ekstra düğüm ekleseniz bile (DMZ'deki çalışanlar), HA nedenlerinden dolayı 3'ten az yönetici düğümü kullanmayın. Varsa bunun tersini yapın: dahili LAN'a daha fazla çalışan düğüm ekleyin, böylece yöneticileriniz hiçbir konteyner çalıştırmaz.
Puanlarım mantıklı geliyor mu? Eğer öyleyse, önceki bir deneyime katılıyor musunuz (bu yüzden Docker Swarm'ı dağıtma şekliniz budur)? Herhangi bir potansiyel problem var mı?
İfadeleriniz biraz garip. Sebeplerinizi bir yerden kopyaladınız mı? Kurulumu değiştirmek istersen neden Docker Müdürlerimi hareket ettireyim?
—
Seth
Merhaba Seth, benim asıl endişem, DMZ’de liman yöneticisi düğümleri olması, bunların çok mantıklı olduklarını düşünüyorum. (Bu benim ilk mesajımdaki 1. nokta). PS ifadesi için üzgünüm Seth, aklımdan biraz farklı bir bağlam var. Aşağıda daha fazla yorum yapabilirim.
—
user3677920
(2. maddeyi açıklığa kavuşturuyorum) Ancak DMZ'ye taşınmanın, çalıştırmak istediğim konteynerler için bazı etkileri var (birkaç geri ve ileri proxy, bir uygulama sunucusu, bir veritabanı ...). Örneğin, ters proxy'lerin DMZ'de olması gerekir ve bu yüzden DMZ'de iki liman işçisi işçisi eklemeyi düşündüm, böylece oraya ters proxy konteynerlerimi yerleştirip internetten servis taleplerini dinledim. --- db gibi diğer kaplar dahili LAN içerisindeki docker yöneticilerine yerleştirilmelidir.
—
user3677920
(3. noktaya açıklık getirdim) Dock yöneticilerine ekstra koruma eklemek istediğim için hepsinin başladığından bahsettim, bu yüzden onları dahili LAN'a taşımak istiyorum. Şimdi, onları korumanın bir başka yolu da içlerinde herhangi bir konteyner çalıştırmak değil, LAN'a bazı ekstra liman işçisi eklerken sadece kontrol işlevlerini kümelemekti. Bu pahalıdır, ancak ne kadar yararlı görüldüğünü sormak istedim.
—
user3677920