martes, 1 de mayo de 2018

Usando Docker de manera práctica - Parte III

Hola de nuevo, en el último post de esta serie hablamos un poco del acceso a la red de los contenedores y de como conseguir permanencia de datos usando volúmenes.
En este post vamos a profundizar un poco más en las caraterísticas de red de los contenedores para poder comunicarlos entre ellos, además de explorar otras opciones y subcomandos para su uso con nuestros contenedores.
Para entender un poco más como funciona el subsistema de red asociado a Docker, vamos a ver que configuración de red tenemos en nuestro sistema de pruebas.

Interfaz virtual docker0.
Como vemos, hay un interfaz de red con una dirección IP asociada al demonio Docker la cual está relacionada con la red de cada uno de los contenedores que creamos, así como ya hicimos en un post anterior, si comprobamos la dirección IP de nuestros contenedores veremos algo como lo siguiente:

Interfaz de red de un contenedor.
Nuestro contenedor webserver dispone de un interfaz en la misma red que el interfaz virtual docker0 de nuestro host. Como es lógico, cualquier nuevo contenedor con acceso a la red tendrá un interfaz con un direccionamiento similar, por ejemplo:

Red usada por interfaces de red en contenedores Docker.
Y estas interfaces de red ¿como se relacionan con nuestro host?, pues comprobando de nuevo el estado de la red con dos contenedores corriendo vemos que han aparecido dos nuevas interfaces de red virtuales y lo que es más importante, que se ha creado un bridge:

Interfaces de red virtuales en el host ejecutando Docker.
Bridge creado en el host ejecutando Docker.
Sin entrar en mucho detalle sobre lo que es un bridge, está claro que el funcionamiento básico de Docekr con la red, consiste en crear un bridge en el host al cual se conectan los interfaces de red de todos nuestros contenedores. Como ya vimos, gracias a esto, los contenedores que creamos tienen acceso al exterior por defecto pero no se puede acceder a ellos desde el exterior de nuestro host.

Al tratarse de un bridge, los contenedores tendrán acceso por red entre ellos pero con ese direccionamiento la pregunta obvia es, ¿como fijamos que puedan comunicarse correctamente entre ellos si no podemos asegurar su direccionamiento?

Para esto disponemos de una opción que nos permitirá enlazar un contenedor con otro ya existente en el momento de su creación. Básicamente lo que hacemos es crear un contenedor y enlazarlo con otro que ya se encuentra corriendo en nuestro host. Como siempre, para entenderlo mejor, supongamos que vamos crear un servicio web formado por un servidor de base de datos, por ejemplo una base de datos MariaDB, un servidor web Apache y una estación de gestión de la base de datos.

Con esta descripción de nuestro servicio, lo primero que debemos pensar es que vamos a necesitar tres contenedores y que tanto nuestro servidor web como nuestra estación de gestión de la base de datos, dependerán del contenedor en el que se ejecute el motor de base de datos. Con este pequeño análisis ya hemos determinado un orden de arranque, por tanto primero creamos nuestro contenedor de base de datos:

Creamos un contenedor con una base de datos.
Si comprobamos si nuestro contenedor con el motor de base de datos está corriendo, nos daremos cuenta que no es así:

Error en el arranque del contenedor webDB.
En estos casos, para poder comprobar que ha sucedido y porque no ha arrancado correctamente, podemos usar el subcomando logs para que nos muestre el contenido de STDERR del contenedor y así poder determinar la causa del problema. En el caso de un contenedor MariaDB tenemos el siguiente mensaje:

Salida de logs de un contenedor MySQL.

Este mensaje nos indica que para poder inicializar correctamente la base de datos, es necesario que le proporcionemos la password de root a través de alguna de las variables de entorno que indica en la salida, pero ¿como podemos pasarle variables de entorno a un contenedor? Para esto solo necesitamos usar la opción -e cuando creamos nuestro contenedor. Por tanto, si ahora volvemos a crear el contenedor de base de datos y especificamos la password de root como nos indica el log, tendremos lo siguiente:

Creación de contenedor MariaDB con variables de entorno.
Ya tenemos el primer contenedor de nuestro servicio web, ahora ya podemos crear los otros dos contenedores en el orden que queramos ya que solo dependen de este. Para crear el servidor web que realizará consultas a la base de datos ejecutaremos el sigueinte comando, en el cual ya establecemos el enlace entre ambos:

Creación de un contenedor enlazado con otro.
Como podemos ver en el comando hemos especificado la opción --link webDB:DB con lo que estamos diciendo que hay un enlace con el contenedor llamado webDB y el alias del mismo lo llamamos DB. La pregunta es, ¿como se establece esta relación entre ambos contenedores? ¿donde se guarda la información de este enalce? lo que sucede al usar esta opción es que Docker modifica el fichero /etc/hosts del contenedor webserver2 que acabamos de crear y añade uan entrada como la siguiente:

Fichero /etc/hosts del contendor Apache dependiente de base de datos.
De este modo, cuando desarrollemos nuestra aplciación web, cualquier operación que realicemos a la base de datos en el host DB, se realizará sobre el contenedor con la base de datos MySQL.

Ahora creamos un contenedor que usaremos para administrar la base de datos de forma remota, así que por ejemplo podemos crear un contenedor a partir de una imagen de CentOS, instalar el cliente de mariaDB y conectarnos a nuestra base de datos:

Contenedor para administrar la base de datos.
Con el cliente de administración de base de datos instalado en este contenedor, podremos conectarnos a la base de datos corriendo en el contenedor webDB y administrar la base de datos:

Conexión del contenedor de administración con el contenedor de base de datos.
Por tanto vemos que gracias a la opción --link usada en el momento de crear los contenedores, podemos enlazar unos con otros de manera muy sencilla y solventar así el problema que puede suponer la asignación dinámica de direcciones IP a los contenedores para la creación de nuestros servicios.

Como es lógico, estas configuraciones crean relaciones de dependencia entre los contenedores que provocan que, si intentamos arrancar un contenedor que se enlaza con otro que está parado, recibiremos un error como el siguiente:

Error arrancando un contenedor enlazado a uno parado.
Es muy importante entender esta funcionalidad dentro del concepto de creación de servicios complejos, en los cuales varios contenedores relacionados entre sí nos permitirán proporcionar un servicio el cual se definirá a partir de los elementos que lo forman. Para esto usaremos otras herramientas de Docker como docker-compose, lo cual veremos más adelante.

Hasta aquí hemos ampliado un poco más el uso de la red y hemos visto como enlazar contenedores entre sí para crear servicios un poco más complejos, en las siguientes entradas ampliaremos más la idea de servicio y como crearlos.

sábado, 21 de abril de 2018

Usando Docker de manera práctica - Parte II

Hola, en esta nueva entrada vamos a seguir realizando ejemplos prácticos con Docker y profundizando en sus características, así como extendiendo los ejemplos que realizamos en la entrada anterior.

En el post anterior de esta serie, creamos un contenedor a partir de una imagen de Apache para tener un servidor web. Al hacerlo comprobamos como nuestro sistema descargaba la imagen de Docker Hub en caso de que no la tuviesemos ya, creaba el contenedor y lo ejecutaba.

También comprobamos que no podíamos acceder a este contenedor desde fuera del host que lo albergaba, pero si desde el propio host y como el contenedor si podía acceder al exterior.

Hoy vamos a continuar con este ejemplo y a explorar dos conceptos fundamentales para la implementación de nuestros servicios, la red y el almacenamiento.

Hasta aquí, lo que tenemos es un servidor web el cual es que no es accesible desde el exterior de nuestro host. Si queremos dar servicio a clientes, ¿que tenemos que hacer para que puedan acceder a la web publicada en nuestro servidor? La solución con docker es increiblemente sencilla ya que, lo único que debemos hacer, es crear nuestro contenedor estableciendo un mapeo de puertos con la opción -p para que los puertos expuestos definidos por la imagen, sean accesibles desde el host que ejecuta el contenedor.

¿Que es eso de los puertos expuestos definidos por la imagen? Como ya he comentado de forma muy resumida, nuestros contenedores hacen uso de imágenes que contienen el software que necesitamos ejecutar. Estas imágenes tienen unas características que podemos consultar con el docker inspect, el cual nos permitirá ver gran cantidad de información sobre cualquier imagen. Si usamos este comando con la imagen httpd que hemos utilizado para crear nuestro contenedor webserver, encontraremos una configuración como la siguiente: 

Comando docker inspect para consultar los puertos expuestos.
En la imagen anterior, justo al final, podemos ver una entrada que se denomina ExposedPorts que indica que cualquier contenedor creado usando esta imagen, expondrá a la red el puerto 80 para que se acceda al servicio. Como es lógico, al tratarse de una imagen que contiene el software de un servidor web, el puerto que expone para acceder al servicio es el puerto 80 y en general, cada servicio que implementemos podrá tener una serie de puertos expuestos, siempre en función del solftware que esté incluido en la imagen.

Por tanto, teniendo esto en cuenta, si ahora creamos un nuevo contenedor especificando que el puerto 80 debe estar mapeado al mismo puerto en nuestro host, tendremos un comando como el siguiente:

Contenedor con el puerto 80 publicado en red.
Ahora, desde cualquier host podremos acceder al servicio web dado por nuestro contenedor:

Acceso al servicio web del contenedor.
En general, cuando necesitemos publicar puertos de red de un contenedor o contenedores, usaremos siempre el comando siguiente a la hora de crearlos:

docker run -p HOSTPORT:CONTAINERPORT [OPCIONES]

De este modo, si por ejemplo ya tenemos otro servidor web escuchando en nuestro host en el puerto 80, podremos crear el contenedor especificando que el puerto 80 expuesto por el contenedor se publique en otro puerto diferente:

Cambiando el puerto publicado de un contenedor.
Si de nuevo probamos a acceder al host donde está corriendo nuestro contenedor, pero en este caso al puerto 8000, veremos de nuevo nuestra web disponible:

Acceso al servicio web del contenedor.

La opción -p permite unas cuantas variaciones que, en función de nuestras necesidades, nos permitirá publicar los puertos del siguiente modo:

  • -p Puerto_Contenedor, al especificarlo así se enlazará el puerto dado del contenedor con un puerto dinámico en todos los interfaces de red del host.
  • -p Puerto_Host:Puerto_Contenedor, este es el ejemplo que hemos utilizado, enlazamos el puerto del contenedor con el puertos especificado del host en todos los interfaces de red del host.
  • -p ip::Puerto_Contenedor, al especificarlo así se enlazará el puerto dado del contenedor con un puerto dinámico en el interfaz con la dirección IP especificada.
  • -p ip:Puerto_Host:Puerto_Contenedor, enlazamos el puerto dado del contenedor con el puerto específico del host en el interfaz con la dirección IP especificada.
Como es lógico podemos usar la opción -p varias veces con todos los puertos que sea necesario exponer desde el contenedor.

Os recomiendo revisar la documentación oficial de Docker, ya que hay más opciones relacionadas con el control y acceso a la red.

Ya sabemos como controlar el acceso a red de nuestros contenedores y continuando nuestro ejemplo, ya que tenemos un servidor web, lo siguiente es publicar nuestro propio contenido pero, ¿cómo podemos hacer esto? La respuesta a esta pregunta es mediante el uso de volúmenes.

La forma más sencilla de entender un volumen es como un punto de montaje en el host al cual nuestro contenedor tendrá acceso. De este modo, para nuestro servidor web, lo único que necesitamos es volver a crear el contenedor especificando el volumen o volúmenes a los que tendrá acceso. 

Por ejemplo, vamos a crear una página web muy simple y vamos a darle acceso de lectura al nuevo contenedor. Para esto solo tenemos que crear nuestro contenedor con la opción -v y la especificación de rutas a utilizar, por ejemplo, para nuestro servidor web sería algo como lo siguiente:

Creación de un contenedor con un volumen.
En este comando hemos expuesto el puerto 80 del contenedor en el puerto 80 del host y además, hemos añadido la opción -v indicándo que la ruta local /home/develop/HTML está disponible y accesible para el contenedor en la ruta /usr/local/apache2/htdocs con lo que, si lo hemos hecho todo bien, al acceder con un navegador web al puerto 80 de nuestro host veremos nuestra página web.

De esta manera tan sencilla los contenedores acceden a contenidos que queremos servir, como por ejmplo el contenido de un servicio web, conseguimos permanencia de los datos generados por clientes de nuestro servicio, como en el caso de un servicio de base de datos, etc...

Al usar volumenes es necesario tener en cuenta lo siguiente:
  • Un volumen puede ser compartido por varios contenedores. Evidentemente es importante tener en cuenta el tipo de acceso que se va a realizar ya que, si se realizan escrituras será necesaria considerar el uso de algún tippo de sistema de archivos de cluster como GFS2.
  • Al montar un volumen en una ruta de un contenedor, el contenido de esa ruta dentro del contenedor se sustituye por lo que tengamos en nuestra ruta.
  • En caso de especificar uan ruta dentro del contenedor que no existe, dicha ruta se creará para permitir el montaje de nuestro volumen.
Con el ejemplo anterior hemos dado acceso a un directorio de nuestro host a un contenedor. Imaginemos que debido a un bug, un intruso es capaz de acceder al contenedor y por tanto, a dicho directorio local en nuestro host. Para limitar el daño que podría hacer podemos especificar que el acceso a dicho volumen, se en modo solo lectura. Para esto solo tenemos que crear el contenedor con la opción -v añadiendo :ro al final, como en el siguiente comando:

Creación de contenedor con volumen de solo lectura.
De este modo tenemos nuestro servidor web accediendo a nuestro contenido, pero ahora solamente en modo lectura.

Vamos a comprobar este último punto y así revisar algunas de las opciones que podemos utilizar en línea de comandos y que, hasta ahora, hemos venido usando.

Hasta ahora, en todos los comandos hemos utilizado la opción -d, la cual le dice a docker que queremos crear o arrancar un cotenendor sin tener acceso a sus salidas estándar stdout, haciendo así que se ejecute en background. Como ejemplo, si creamos un nuevo contenedor como nuestro servidor web, sin usar la opción -d veremos lo siguiente:

Contenedor corriendo en primer plano.
Al ejecutarse así veremos en consola toda la salida que los procesos del contenedor estén enviando a stderr y stdout y nos desconectaremos parando el contenedor, pulsando CTRL+C.

Ahora, para comprobar como hemos dicho, que nuestro volumen está montado en modo solo lectura, vamos a lanzar un comando en nuestro contenedor para intentar crear un fichero en dicha ruta. Para esto solo debemos usar el subcomando exec:

Volumen de solo lectura.
De este modo nos aseguramos de proteger nuestro hoost local y deberíamos tomar como buena práctica que los contenedores solo tengan acceso de escritura a aquellos volúmenes donde realmente necesiten escribir.

Hasta aquí la segunda parte de las prácticas de Docker, en breve la siguiente en la que intentaremos relacionar cotenedores y describir servicios.

lunes, 16 de abril de 2018

Backups con SnapManager para Exchange

Hola de nuevo, hoy voy a explorar las características de Snap Manager para Exchange, el cual acabo de implementar para poder realizar los backups de nuestra infraestructura de Exchange.

Snap Manager para Exchange es una aplicación de NetApp que dentro de su familia de aplicaciones Snap Manager, se integra con sus sistemas de almacenamiento y Microsoft Exchange para poder hacer backups de BBDD de Exchange mediante snapshots del almacenamiento donde residan las BBDD de buzones.

Este software se comunica directamente con Exchange a través de su API consiguiendo realizar backups consistentes de las BBDD de buzones así como de los logs de transacciones de Exchange. Así mismo, gracias a esta integración, Exchange truncará los logs de transacciones ya aplicados y de los que se ha realizado el backup, liberando así espacio en las LUNs de logs de las BBDD de buzones.

¿Que ventajas tengo al usar una aplicación como esta?
  • Velocidad a la hora de realizar backups. Al ser un backup a disco basado en la capacidad de realizar snapshots, el backup es mucho más rápido.
  • Velocidad a la hora de realizar restores. Del mismo modo, cualquier restauración es muchísimo más rápida.
Como es lógico estas son las dos ventajas fundamentales, pero adicionalmente disponemos de las siguientes ventajas derivadas de usar un sistema NetApp:
  • Optimización del uso del almacenamiento. Fundamentalmente tenemos un ahorro de almacenamiento conseguido gracias a la deduplicación del dato. Almacenando varias LUNs en el mismo volumen conseguiremos una reducción del espacio utilizado.
  • Protección de la información. Ya que estamos usando cabinas NetApp y snapshots ¿porque no transferir esos snapshots a otra SVM y mantenerlos con SnapVault? Igualmente, mediante una relación de SnapMirror podremos tener una réplica para nuestra política de DR.
Este último punto, que es el que nos ha costado más hacer funcionar, se integra directamente con ONTAP cluster, de tal manera que configurando el backup con la opción de archivado, lanzará automáticamente la relación de snapmirror o snapvault del almacenamiento primario al secundario.

Por tanto, si necesitas hacer backups rápidos de Exchange e implementar políticas de protección sobre ellos de forma rápida y sencilla, esta es una opción a tener muy en cuenta.

miércoles, 11 de abril de 2018

Cluster ONTAP - Parte II

Hola de nuevo, revisando las entradas sobre cluster ONTAP me he dado cuenta que hace infinito que no escribo nada y hemos hecho muchos cambios en el último año.

En aquel momento acabábamos de empezar la migración de nuestras controladoras, que por aquel entonces estaban en 7-Mode, a la versión 8.3.2 de cluster ONTAP, migración que realizamos satisfactoriamente usando la herramienta 7-Mode Transition Tool de NetApp.

Recientemente hemos realizado el último paso que nos faltaba, la conversión de un cluster switchless a switched, así que voy a explicar un poco las diferencias entre 7-Mode y cluster ONTAP a nivel hardware.

Para empezar, como siempre digo, recomiendo visitar la página web de NetApp en la cual podréis encontrar información más precisa y explicaciones mucho mejores que las mías.

Antes de cluster ONTAP, las controladoras se instalaban en parejas aisladas cuando queríamos disponer de alta disponibilidad. Con ONTAP 7-Mode, las controladoras se instalaban formando parejas. En una pareja, las dos controladoras se interconectaban entre sí para comunicarse enre ellas. Esta conexión podía realizarse internamente, cuando ambas estaban en un mismo chasis, o externamente cuando estaban separadas. Esta interconexión entre controladoras, llamada HA interconnect, nos permite forrmar lo que se denomina una pareja HA.

Cada controladora podía estar conectada a una o más stacks de bandejas de discos de las que era propietaria, asignándose dicha propiedad por software y para asegurar la máxima disponibilidad, también se conectaban a la controladora partner que formaba la pareja. Esta interconexion podemos verla así:
Conexiones básicas pareja HA.

A nivel software, cada controladora disponía de su servidor NFS y CIFS, además de proporcionar servicios FCP e iSCSI. Por tanto cada controladora de una pareja HA podía servir datos simultaneamente y ya dependía de nuestras necesidades, como repartir la carga y los servicios.

Con la nueva versión cluster de ONTAP todo esto ha cambiado sustancialmente. Ahora a nivel hardware, podemos tener varias parejas interconectadas entre sí formando un cluster. El concepto de parejas de controladoras se mantiene y es el bloque fundamental de construcción de los nuevos clusters, los cuales, en función del número de parejas que los formen pueden ser switchless cluster, en los cuales solo tenemos una pareja de controladoras interconectadas entre sí, además de mediante la conexión HA interconnect mediante una red de cluster, o switched cluster, en la cual dos o más parejas se interconectan entre sí mediante una red de cluster dedicada. Ambos casos podemos verlos más o menos del siguiente modo:
Switchless ONTAP cluster.








Switched ONTAP cluster.

Viendo estas imágenes está claro que la idea fundamental de cluster ONTAP es la escalabilidad del servicio de almacenamiento.

Por tanto, desde el punto de vista hardware, podríamos decir que mediante la red de cluster podemos interconectar parejas HA para conseguir más rendimiento y puertos de acceso, escalando horizontalmente nuestro sistema de almacenamiento. Así mismo, al conectar bandejas adicionales a cada pareja HA, añadiremos almacenamiento al sistema y por tanto escaleremos el cluster verticalmente añadiendo más capacidad.

Hasta aquí el resumen de las diferencias hadware. En los próximos posts intentaré explicar un poco las diferencias software y el modo de operación básico.

viernes, 6 de abril de 2018

Usando Docker de manera práctica - Parte I

Hola de nuevo, en los posts anteriores sobre Docker he repasado un poco la teoría de operación de Docker y, de una manera muy básica, he realizado una introducción a ciertas características. Para poder profundizar un poco más en Docker y su funcionamiento vamos a ver unos cuantos casos prácticos.

Para empezar lo fundamental es instalar Docker. Esto podemos hacerlo de una manera muy sencilla con solo descargar el paquete correspondiente para nuestra distribución Linux. Por ejemplo, en sistemas como CentOS:
Instalación del motor de Docker.

con lo que nuestro motor de Docker ya estaría listo y disponible en nuestro sistema para empezar a usarlo.

Una vez instalado, el comando que vamos a utilizar para todo es docker, el cual interactua con el demonio docker que ahora estará arrancado en nuestro sistema.

El primer comando que vamos a utilizar, para comprobar que la instalación se ha realizado correctamente, nos dará la versión de Docker que estamos usando:

Comprobando la versión de Docker,.

Bien, una vez que tenemos nuestro motor de Docker instalado y funcionando correctamente vamos a realizar un ejemplo básico, pero en este caso no vamos a crear un contenedor que nos diga Hola mundo, sino vamos a hacer algo un poco más interesante, como montar con un solo comando un servidor web Apache.

Como ya expliqué, el motor de Docker permite ejecutar aplicaciones dentro de un entorno aislado a partir de una imagen que contendrá todo el software que dicha aplicación necesita. Ahora bien, ¿de donde salen esas imágenes? Al igual que las diferentes distribuciones de Linux tienen repositorios con paquetes de software, Docker dispone de un repositorio público que contiene miles de imágenes que podemos descargar y utilizar para crear nuestros contenedores. Puedes consultar dicho repositorio en la URL https://hub.docker.com/ previo registro, el cual es absolutamente gratuito. Este registro en Docker Hub nos permitirá, más adelante, subir nuestras imágenes y hacerlas públicas si así lo deseamos.

Al igual que nuestro gestor de paquetes favorito nos permite buscar software por su nombre, el comando docker dispone de un subcomando search el cual, salvo que especifiquemos otro repositorio, buscará siempre en Docker Hub. Como para estas operaciones no es necesario que tengamos un usuario registrado, vamos a buscar una imagen para instalar nuestro servidor Apache:

Busqueda de imágenes de Apache en Docker Hub.
Como véis aparecen muchos resultados ya que, al buscar una cadena con el comando docker search, este realizará la búsuqeda tnato el nombre de la imagen como en la descripción de la misma. Como se vé en la salida, las imágenes tienen valoraciones con estrellas y además, en algunas se indica que son oficiales. Más adelante intentaré profundizar un poco más en toda esta información pero, de momento vamos a quedarnos con la imagen docker.io/httpd y vamos a crear nuestro primer contenedor con ella. Para esto solo es necesario ejecutar el comando; docker run -d --name webserver httpd:latest, como podemos ver a continuación:

Creación de un contenedor con un servidor web Apache.
Tras descargarse las capas de sistemas de ficheros necesarias que forman la imagen, podemos comprobar con el comando docker ps -a si hay algún contenedor corriendo:

Lista de contenedores arrancados y parados en el sistema.
La salida del comando muestra que hemos creado un contenedor con la imagen httpd:latest, que el nombre del contenedor es webserver, el estado del contenedor y que está escuchando en el puerto 80. Por tanto, ¿quiere esto decir que con tan solo ese comando hemos levantado un servidor web Apache y que es accesible por el puerto 80? La respuesta es no. Por defecto, un contenedor tendrá acceso al exterior del host donde se está ejecutando pero no podremos acceder a él desde fuera del host, solo desde el propio host. La manera más sencilla de comprobar esto es arrancar nuestro contenedor webserver con una shell, para ello solo tenemos que hacer lo siguiente:

Usando una shell en un contenedor.

Al arrancar así el contenedor, especificando el comando, no se ejecutará el comando por defecto de la imagen y por tanto, no estará corriendo el servidor apache pero podremos interactuar con el contenedor. Desde esta shell, si comprobamos la dirección IP y lanzamos un ping podremos comprobar que el contenedor puede acceder a la red sin problemas:

Acceso a la red desde un contenedor.

Como lo que queremos es comprobar que nuestro contenedor es un servidor web que está funcionando correctamente, arrancamos nuestro contenedor de nuevo sin pasarle ningún comando y a probamos a acceder desde el propio host. Para esto primero necesitamos saber que dirección IP le ha asignado docker a este contenedor, para esto podemos ejecutar el comando ip addr dentro del contenedor del siguiente modo:
Ejecutando un comando dentro de un contenedor.
Esto nos muestra una funcionalidad muy interesante y es que, siempre que el comando exista dentro del contenedor, podremos ejecutarlo y realizar acciones dentro de un contenedor que está corriendo. Con este sencillo comando hemos obtenido la dirección IP que nuestro contenedor webserver tiene con lo que ahora, con nuestro querido comando lynx podemos comprobar si de verdad está sirviendo una página web:

Accediendo con lynx a nuestro servidor web.
Aunque no es muy gráfico, nos permite comprobar que efectivamente, con un solo comando, hemos levantado un servidor web Apache totalmente operativo.

En el próximo post vamos a darle una pequeña vuelta a esto y explicar un poco más los comandos que hemos utilizado en este post, así como cambiar la forma en que creamos nuestro contenedor para que sea accesible desde el exterior.

martes, 3 de abril de 2018

Imágenes de software

Hola de nuevo, en el anterior post realicé una pequeña introducción a Docker. Como ya expliqué, con Docker podremos ejecutar software en entornos aislados de ejecución llamados contenedores. La pregunta obvia es ¿que software es el que se ejecuta dentro del contenedor?

Para poder crear un contenedor usaremos imágenes de software, las cuales contendrán las aplicaciones que necesitamos con todas sus dependencias.

Al hablar de imágenes de software podemos pensar que estas son ficheros únicos, como un paquete RPM o DEB, que descargamos y utilizamos para crear contenedores pero, en realidad, las imágenes de Docker son conjuntos de capas de ficheros.

Cada una de las capas de ficheros que forman una imagen contiene un conjunto de ficheros y directorios y todas esas capas juntas, mediante el uso de un union filesystem, formará el sistema de archivos completo que usará el contenedor.

Visualmente creo que se entiende mucho mejor, así que ahí va un esquema aclaratorio:
Sistema de archivos UFS y su relación con capas de ficheros.
Viendo esta imagen podemos entender como, al unir varias capas de sistemas de ficheros, se formará una imagen que contendrá todos los archivos necesarios para poder ejecutar una determinada aplicación.

Las capas de sistemas de ficheros se relacionarán entre ellas de tal manera que, la capa más baja será la capa padre de la siguiente y así sucesivamente, hasta formar una imagen completa que contenga toda la estructura de directorios y los ficheros necesarios para la ejecución de una determinada aplicación.

Por tanto, al crear un contenedor con una imagen, lo que tendremos serán todas esas capas montadas mediante un union filesystem que para el contenedor será un sistemas de ficheros HFS estándar, aunque realmente los archivos y directorios estén distribuidos entre las diferentes capas.

Cuando los procesos que corren en la aplicación deban realizar operaciones de escritura, lo harán sobre una capa superior que se añadira automáticamente a la imagen en el mismo momento de su creación.

Con esta forma de trabajar está claro que se consigue una reutilización de las capas de software para poder construir diferentes imágenes con solo relacionarlas entre ellas. Por ejemplo imaginemos una imagen que contenga el software de un servidor web como Apache o Nginx, aunque es una aproximación muy burda podemos imaginar que podría estar formada por dos capas de sistemas de ficheros:
  1. La primera capa contendría las bibliotecas necesarias de sistema operativo, así como aplicaciones básicas como una shell bash.
  2. La segunda capa, que sería hija de la anterior, contendría el software del propio servidor web, con sus bibliotecas, binarios y ficheros de configuración.
De este modo, al montar ambas capas juntas, el contenedor tendría acceso a un sistema de archivos donde "vería" ciertas carpetas con bibliotecas y binarios de sistema y, adicionalmente, las carpetas que contendrían el software del servidor web.

Más adelante volveremos sobre las imágenes, ya que lo interesante es ver como usarlas y construirlas, pero creo que para empezar es una buena introducción.

Muy pronto más información.

sábado, 31 de marzo de 2018

¿Que es Docker y como funciona?

Hola de nuevo, por fín regreso para comenzar una nueva sección y explorar Docker y sus funcionalidades.

De forma muy simplificada podemos decir que Docker nos permite utilizar ciertas características del kernel de Linux, como los namespaces o los cgroups, para crear entornos de ejecución aislados para aplicaciones.

Con esta definición básica ya tenemos varios puntos importantes sobre Docker:
  • Al crear entornos aislados de ejecución usando funcionalidades del kernel, Docker no es un sistema de virtualización hardware y no requiere que el host que utilicemos exponga sus capacidades de virtualización de hardware.
  • Los procesos que corren dentro de un entorno aislado serán capaces de realizar llamadas al kernel del host donde estén corriendo.
  • Los entornos de aislamiento, que es lo que conocemos como contenedores, tendrán un acceso limitado a los recursos del sistema.
¿Que necesitamos para empezar con Docker? pues solamente un sistema operativo Linux e instalar el paquete correspondiente. Al usar funcionalidades del kernel, podremos usar Docker tanto en sistemas físicos como virtuales.

En la web oficial de Docker hay toneladas de información que explican todo esto mucho mejor que yo, así que es una parada obligatoria para todos los que queráis aprender de verdad sobre Docker.

En la próxima entrada intentaré explicar que es una imagen y como se usan para crear un contenedor.