Erstellen eines Docker-Image von NGINX Plus mit NGINX Agent für Kubernetes
F5 NGINX Management Suite ist eine Familie von Modulen zur Verwaltung der NGINX-Datenebene über eine einzige Oberfläche. Durch die Vereinfachung der Verwaltung von NGINX Open Source- und NGINX Plus-Instanzen vereinfacht die NGINX Management Suite Ihre Prozesse zum Skalieren, Sichern und Überwachen von Applications und APIs.
Sie müssen den NGINX-Agent auf jeder NGINX-Instanz installieren, die Sie von der NGINX Management Suite aus verwalten möchten, um die Kommunikation mit der Steuerebene und die Remote-Konfigurationsverwaltung zu ermöglichen.
Für NGINX-Instanzen, die auf Bare Metal oder einer virtuelle Maschine (VM) ausgeführt werden, stellen wir in unserer Dokumentation Installationsanweisungen bereit. In diesem Beitrag zeigen wir, wie man ein Docker-Image für NGINX Plus und NGINX Agent erstellt, um die Reichweite der NGINX Management Suite auf NGINX Plus-Instanzen auszuweiten, die in Kubernetes oder anderen Microservices-Infrastrukturen bereitgestellt werden.
Je nachdem, was Sie in das resultierende Docker-Image aufnehmen möchten, gibt es drei Build-Optionen:
- Nur NGINX Plus und NGINX Agent
- NGINX Plus, NGINX Agent und NGINX App Protect WAF
- NGINX Plus, NGINX Agent und Unterstützung für das Entwicklerportal NGINX Management Suite API Connectivity Manager (für NGINX Plus-Instanzen, die als API-Gateway ausgeführt werden)
[ Herausgeber – Dieser Beitrag wurde im April 2023 aktualisiert, um die Anweisungen zu verdeutlichen und das Feld ACM_DEVPORTAL in Schritt 1 des Ausführens des Docker-Image in Kubernetes hinzuzufügen.]
Voraussetzungen
Wir stellen Ihnen ein GitHub-Repository mit allen Ressourcen bereit, die Sie benötigen, um ein Docker-Image von NGINX Plus und NGINX Agent zu erstellen. Dabei unterstützen wir Version 2.8.0 und höher des Instance Manager-Moduls der NGINX Management Suite.
Zum Erstellen des Docker-Image benötigen Sie:
- Ein Linux-Host (Bare Metal oder VM)
- Docker 20.10+
- Ein privates Register, in das Sie das Ziel-Docker-Image pushen können
- Eine laufende NGINX Management Suite-Instanz mit Instance Manager und API Connectivity Manager, wenn Sie die Unterstützung für das Entwicklerportal nutzen möchten
- Ein Abonnement ( oder eine 30-tägige kostenlose Testversion ) für NGINX Plus und optional NGINX App Protect
Zum Ausführen des Docker-Image benötigen Sie:
- Ein laufender Kubernetes-Cluster
kubectlmit Zugriff auf den Kubernetes-Cluster
Erstellen des Docker-Image
Befolgen Sie diese Anweisungen, um das Docker-Image zu erstellen.
Klonen Sie das GitHub-Repository:
$ git clone https://github.com/nginxinc/NGINX-Demos Cloning into 'NGINX-Demos'... remote: Enumerating objects: 126, done. remote: Counting objects: 100% (126/126), done. remote: Compressing objects: 100% (85/85), done. remote: Total 126 (delta 61), reused 102 (delta 37), pack-reused 0 Receiving objects: 100% (126/126), 20.44 KiB | 1.02 MiB/s, done. Resolving deltas: 100% (61/61), done.Wechseln Sie in das Build-Verzeichnis:
$ cd NGINX-Demos/nginx-agent-docker/Führen Sie
„dockerps“aus, um zu überprüfen, ob Docker ausgeführt wird, und führen Sie dann das Skript build.sh aus, um die gewünschte Software in das Docker-Image aufzunehmen. Die Basisoptionen sind:‑C– Name der NGINX Plus-Lizenzzertifikatsdatei (nginx-repo.crtin den Beispielbefehlen unten)-K– Name der NGINX Plus-Lizenzschlüsseldatei (nginx-repo.keyin den Beispielbefehlen unten)-t– Das Registrierungs- und Zielbild im Formular<Registrierungsname>/<Bildname>:<tag>(
registry.ff.lan:31005/nginx-plus-with-agent:2.7.0in den Beispielbefehlen unten)‑n– Basis-URL Ihrer NGINX Management Suite-Instanz (https://nim.f5.ff.lanin den Beispielbefehlen unten)
Die zusätzlichen Optionen sind:
-d– Fügen Sie bei Verwendung des NGINX API Connectivity Manager Datenebenenunterstützung für das Entwicklerportal hinzu.‑w– NGINX App Protect WAF hinzufügen
Hier sind die Befehle für die verschiedenen Softwarekombinationen:
NGINX Plus und NGINX Agent:
$ ./scripts/build.sh -C nginx-repo.crt -K nginx-repo.key \ -t registry.ff.lan:31005/nginx-plus-with-agent:2.7.0 \ -n https://nim.f5.ff.lanNGINX Plus, NGINX Agent und NGINX App Protect WAF (fügen Sie die Option
„-w“hinzu):$ ./scripts/build.sh -C nginx-repo.crt -K nginx-repo.key \-t registry.ff.lan:31005/nginx-plus-with-agent:2.7.0 -w \ -n https://nim.f5.ff.lanUnterstützung für NGINX Plus, NGINX Agent und Entwicklerportal (fügen Sie die Option
-dhinzu):$ ./scripts/build.sh -C nginx-repo.crt -K nginx-repo.key \ -t registry.ff.lan:31005/nginx-plus-with-agent:2.7.0 -d \ -n https://nim.f5.ff.lan
Hier ist eine Beispielablaufverfolgung des Builds für ein Basisimage. Die Meldung
„Buildabgeschlossen“am Ende zeigt an, dass der Build erfolgreich war.$ ./scripts/build.sh -C nginx-repo.crt -K nginx-repo.key -t registry.ff.lan:31005/nginx-plus-with-agent:2.7.0 -n https://nim.f5.ff.lan => Target docker image is nginx-plus-with-agent:2.7.0 [+] Building 415.1s (10/10) FINISHED => [internal] load build definition from Dockerfile => transferring dockerfile: 38B => [internal] load .dockerignore => transferring context: 2B => [internal] load metadata for docker.io/library/centos:7 => [auth] library/centos:pull token for registry-1.docker.io => CACHED [1/4] FROM docker.io/library /centos:7@sha256:be65f488b7764ad3638f236b7b515b3678369a5124c47b8d32916d6487418ea4 => [internal] load build context => transferring context: 69B => [2/4] RUN yum -y update && yum install -y wget ca-certificates epel-release curl && mkdir -p /deployment /etc/ssl/nginx && bash -c 'curl -k $NMS_URL/install/nginx-agent | sh' && echo "A 299.1s => [3/4] COPY ./container/start.sh /deployment/ => [4/4] RUN --mount=type=secret,id=nginx-crt,dst=/etc/ssl/nginx/nginx-repo.crt --mount=type=secret,id=nginx-key,dst=/etc/ssl/nginx/nginx-repo.key set -x && chmod +x /deployment/start.sh & 102.4s => exporting to image => exporting layers => writing image sha256:9246de4af659596a290b078e6443a19b8988ca77f36ab90af3b67c03d27068ff => naming to registry.ff.lan:31005/nginx-plus-with-agent:2.7.0 => Build complete for registry.ff.lan:31005/nginx-plus-with-agent:2.7.0Ausführen des Docker-Image in Kubernetes
Befolgen Sie diese Anweisungen, um das Bereitstellungsmanifest vorzubereiten und NGINX Plus mit NGINX Agent auf Kubernetes zu starten.
Öffnen Sie mit Ihrem bevorzugten Texteditor manifests/1.nginx-with-agent.yaml und nehmen Sie die folgenden Änderungen vor (die Codeausschnitte zeigen die Standardwerte, die Sie ändern können oder müssen, orange hervorgehoben):
Ersetzen Sie im Abschnitt
spec.template.spec.containersden Standard-Image-Namen (your.registry.tld/nginx-with-nim2-agent:tag) durch den Docker-Image-Namen, den Sie mit der Option-tin Schritt 3 von „ Erstellen des Docker-Images “ angegeben haben (in unserem Fall registry.ff.lan:31005/nginx-plus-with-agent:2.7.0 ):spec: ... template: ... spec: containers: - name: nginx-nim image: your.registry.tld/nginx-with-nim2-agent:tagNehmen Sie im Abschnitt
spec.template.spec.containers.envdiese Ersetzungen imWertefeldfür jeden angegebenenNamenvor:NIM_HOST– (Erforderlich) Ersetzen Sie den Standardwert (nginx-nim2.nginx-nim2) durch den FQDN oder die IP-Adresse Ihrer NGINX Management Suite-Instanz (in unserem Fall nim2.f5.ff.lan ).NIM_GRPC_PORT– (Optional) Ersetzen Sie den Standard (443) mit einer anderen Portnummer für gRPC-Verkehr.NIM_INSTANCEGROUP– (Optional) Ersetzen Sie den Standard (lab) durch die Instanzgruppe, zu der die NGINX Plus-Instanz gehört.NIM_TAGS– (Optional) Ersetzen Sie den Standard (preprod,devops) durch eine Komma-getrennte Liste von Tags für die NGINX Plus-Instanz.
spec: ... template: ... spec: containers: ... env: - name: NIM_HOST ... value: "nginx-nim2.nginx-nim2" - name: NIM_GRPC_PORT value: "443" - name: NIM_INSTANCEGROUP value: "lab" - name: NIM_TAGS value: "preprod,devops"Entfernen Sie außerdem im Abschnitt
spec.template.spec.containers.envdie Kommentarzeichen von diesenName-Wert-Feldpaaren, wenn die angegebene Bedingung zutrifft:NIM_WAFundNIM_WAF_PRECOMPILED_POLICIES– NGINX App Protect WAF ist im Image enthalten (Sie haben die Option-win Schritt 3 des Erstellens des Docker-Images eingefügt), daher ist der Wert„true“.ACM_DEVPORTAL– Unterstützung für das App Connectivity Manager-Entwicklerportal ist im Image enthalten (Sie haben die Option-din Schritt 3 des Erstellens des Docker-Images eingefügt), daher ist der Wert„true“.
spec: ... template: ... spec: containers: ... env: - name: NIM_HOST ... #- name: NAP_WAF # value: "true" #- name: NAP_WAF_PRECOMPILED_POLICIES # value: "true" ... #- name: ACM_DEVPORTAL # value: "true"
Führen Sie das Skript nginxwithAgentStart.sh wie angegeben aus, um das Manifest anzuwenden und zwei Pods zu starten (wie von den
Replikaten angegeben):2Anweisung imSpezifikationsabschnittdes Manifests), jeweils mit NGINX Plus und NGINX Agent:$ ./scripts/nginxWithAgentStart.sh start$ ./scripts/nginxWithAgentStart.sh stopÜberprüfen Sie, ob jetzt zwei Pods ausgeführt werden: Jeder Pod führt eine NGINX-Plus-Instanz und einen NGINX-Agent aus, um mit der Steuerebene der NGINX Management Suite zu kommunizieren.
$ kubectl get pods -n nim-test NAME READY STATUS RESTARTS AGE nginx-nim-7f77c8bdc9-hkkck 1/1 Running 0 1m nginx-nim-7f77c8bdc9-p2s94 1/1 Running 0 1mGreifen Sie auf die GUI des NGINX Instance Managers in der NGINX Management Suite zu und überprüfen Sie, ob zwei NGINX Plus-Instanzen mit dem Status „Online“ ausgeführt werden. In diesem Beispiel ist NGINX App Protect WAF nicht aktiviert.
Erste Schritte
Um die in diesem Beitrag besprochenen NGINX-Lösungen auszuprobieren, starten Sie noch heute eine 30-tägige kostenlose Testversion oder kontaktieren Sie uns, um Ihre Anwendungsfälle zu besprechen :
- NGINX-Verwaltungssuite
- NGINX Plus (beinhaltet NGINX App Protect WAF)
Laden Sie NGINX Agent herunter – es ist kostenlos und Open Source.
„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."