我正在尝试将 Windows Nanoserver 容器设置为 Sidecar 容器,其中保存我用于 SSL 的证书。因为我需要的 SSL 证书在每个环境中都会发生变化,所以我需要能够在启动时更改 sidecar 容器(即 dev-cert 容器、prod-cert 容器等)。我已经解决了配置问题,但在使用与 Linux 容器相同的模式时遇到了麻烦。
在 Linux 容器上,我只需将文件复制到容器中,然后使用 VOLUMES 步骤导出卷。然后,在我的主应用程序容器上,我可以使用 Volumes_from 从 sidecar 导入卷。
我尝试在 Nanoserver 上遵循相同的模式,但无法正常工作。这是我的 dockerfile:
# Building stage
FROM microsoft/nanoserver
RUN mkdir c:\\certs
COPY . .
VOLUME c:/certs
容器构建得很好,但是当我尝试运行它时出现以下错误。 dockerfile 文档说明如下:
Volumes on Windows-based containers: When using Windows-based containers, the destination of a volume inside the container must be one of:
a non-existing or empty directory a drive other than C:
所以我想,简单,我就切换到D驱动器(因为我不想像#1那样导出空目录)。我做了以下更改:
# Building stage
FROM microsoft/windowservercore as build
VOLUME ["d:"]
WORKDIR c:/certs
COPY . .
RUN copy c:\certs d:
这个容器实际上正确启动了。但是,我错过了文档中的内容:
Changing the volume from within the Dockerfile: If any build steps change the data within the volume after it has been declared, those changes will be discarded.
所以,当我检查时,d:\certs 目录中没有任何文件。
那么如何在 Windows 容器中挂载一个供外部使用的驱动器,如果 #1 目录必须为空才能在容器中的 C 盘上创建 VOLUME,并且使用必须使用 VOLUME 创建 d 盘,即毫无意义,因为放入其中的任何东西都不会出现在最终的容器中?
最佳答案
不幸的是,您不能以这种方式使用 Windows 容器卷。此外,这种限制也是使用数据库容器(如 microsoft/mssql-server-windows-developer)非常痛苦的原因。您无法在非空数据库文件夹上创建卷,因此在重新创建容器后无法恢复数据库。
对于您的用例,我建议您使用反向代理(例如 Nginx)。 您创建另一个容器,其中包含 Nginx 服务器和证书。然后让它处理所有传入的 HTTPS 请求,终止 SSL/TLS,然后使用纯 HTTP 协议(protocol)将请求传递到内部应用程序容器。 通过此类部署,您无需将 HTTPS 证书复制并安装到所有应用程序容器。存储证书的地方只有一个,您只需使用不同的 Nginx 镜像版本(或使用卷绑定(bind)证书文件夹)即可更改 dev/test/etc 证书。
更新:
此外,如果您仍然想使用 sidecar 容器,您可以尝试一个小技巧。所以基本上你会移动这个操作
COPY . .
从构建时间到运行时(容器启动后)。 像这样的事情:
FROM microsoft/nanoserver
RUN mkdir c:\\certs_in
RUN mkdir c:\\certs_out
VOLUME c:/certs_out
CMD copy "C:\certs_in" *.* "D:\certs_out"
关于docker - 带 Sidecar 的 Windows 容器用于数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48817130/