docker swarm lock/unlock 的作用
Docker Swarm 提供了**加密集群状态(Encrypted Raft logs)**的功能,可以防止 Swarm 集群的管理数据(如任务分配、集群配置等)在磁盘上被未授权访问。
docker swarm lock:锁定 Swarm 集群,要求解锁密钥才能恢复集群管理功能。docker swarm unlock:使用解锁密钥解锁 Swarm,让管理节点继续运行。
1. docker swarm lock(手动锁定集群)
这个命令会手动锁定 Swarm,即使 Swarm 仍然在运行,所有的 Swarm 操作都会暂停,直到解锁:
docker swarm lock
锁定后:
- 现有的容器仍然继续运行。
- 但是 Swarm 不会进行任务调度、服务管理、节点加入等操作。
2. docker swarm unlock(手动解锁)
当 Swarm 被锁定后,管理节点重启时需要手动解锁:
docker swarm unlock
这时需要输入 解锁密钥(Swarm 初始化时生成的)。
如果丢失解锁密钥,Swarm 无法恢复,除非你强制重新创建 Swarm 集群(会导致数据丢失)。
查看解锁密钥:
docker swarm unlock-key这个命令可以显示当前的解锁密钥。
3. Swarm 自动加密
当你初始化 Swarm 并启用了加密(默认开启),Swarm 状态会加密存储,管理节点重启时默认需要解锁:
docker swarm init --autolock
如果使用 --autolock 参数,Swarm 在管理节点重启时会自动锁定,你必须手动运行:
docker swarm unlock
才能让 Swarm 继续工作。
4. 关闭自动锁定
如果不想 Swarm 在每次管理节点重启后都锁定,可以关闭:
docker swarm update --autolock=false
这样 Swarm 以后重启时不会要求手动解锁。
5. 总结
| 命令 | 作用 |
|---|---|
docker swarm lock |
手动锁定 Swarm,不允许管理操作 |
docker swarm unlock |
手动解锁 Swarm,恢复管理功能 |
docker swarm init --autolock |
启用自动锁定,管理节点重启后必须解锁 |
docker swarm unlock-key |
查看 Swarm 解锁密钥 |
docker swarm update --autolock=false |
关闭自动锁定,管理节点重启时无需手动解锁 |
如果你的 Swarm 集群涉及敏感数据,建议开启 --autolock,这样即使主机被攻击,攻击者也无法直接访问 Swarm 状态数据。
旧节点重启的隐患
1. Swarm 旧管理节点的安全隐患
当一个 Swarm 管理节点(Manager)宕机后,你可能会:
- 直接重启这个节点
- 使用备份数据恢复 Swarm
但这样做可能会带来问题:
❌ 问题 1:旧节点可能会访问 Swarm 的历史数据
Swarm 管理节点的 Raft 数据库 存储了整个集群的状态。
如果你重启了一个 很久之前的管理节点,它的 Raft 数据库可能是 旧数据,但 Swarm 仍然会自动解密 Raft 日志,让它继续运行。
这样会带来:
- 安全风险:攻击者如果拿到一个旧的 Swarm 备份,可以用它恢复一个 Swarm,并获取所有 Swarm 配置。
- 数据不一致:这个节点的数据可能过时,但仍然可以影响当前的 Swarm 配置,导致集群异常。
❌ 问题 2:脑裂(Split-Brain)问题
如果一个 Swarm 集群有多个管理节点,其中一个管理节点 宕机了,Swarm 可能已经选出了一个新的 Leader。
但如果这个 旧的 Leader 重新加入,就可能出现:
- 原来的 Leader 继续认为自己是主节点
- 新的 Leader 也在正常运行
- 这样会导致 两个 Leader(双主),Swarm 无法正常工作,这种情况叫 脑裂(Split-Brain)。
脑裂可能导致:
- 数据不一致:两个 Leader 可能有不同的 Swarm 状态,导致任务分配混乱。
- 集群崩溃:Swarm 依赖 Raft 共识算法,如果不同节点有不同的状态,可能导致整个集群无法工作。
2. 自动锁(Autolock)机制的作用
为了防止这些问题,Docker 提供了 自动锁(Autolock)机制:
作用 1:防止旧节点自动解密 Raft 日志
如果启用了 --autolock,管理节点重启后会自动锁定,需要手动输入 解锁密钥:
docker swarm unlock
这样,即使某个旧的 Swarm 备份被恢复,也不会直接访问 Raft 数据库,避免了安全问题。
作用 2:防止脑裂
如果一个旧的 Leader 因为宕机重启,它必须 先解锁 才能重新加入集群:
docker swarm unlock
这样可以确保 Swarm 现有的 Leader 仍然有效,不会因为旧 Leader 的加入导致脑裂。
3. 解决方案
为了避免 Swarm 因为管理节点重启或备份恢复带来的问题,建议:
- 启用自动锁,防止 Swarm 旧管理节点被自动解密:
docker swarm init --autolock - 定期备份 Swarm 解锁密钥,防止无法恢复 Swarm:
docker swarm unlock-key - 如果需要恢复备份,确保你恢复的是最新的 Raft 数据库,不要用过旧的备份。
4. 总结
| 问题 | 影响 | 解决方案 |
|---|---|---|
| 旧管理节点重启 | 可能访问旧 Raft 数据,带来安全风险 | 启用 --autolock,防止自动解密 |
| 恢复 Swarm 备份 | 如果备份过旧,可能会抹掉最新 Swarm 配置 | 确保恢复的是最新的 Raft 数据 |
| 脑裂(Split-Brain) | 旧 Leader 重新加入,可能导致多个 Leader | 通过 --autolock 机制,确保手动解锁 |
结论
- Swarm 默认不会自动锁定管理节点,重启后可以直接加入集群,但这可能会导致 安全问题和脑裂。
--autolock机制可以防止 Swarm 旧节点自动解密 Raft 数据,并避免脑裂问题。- 如果 Swarm 需要恢复备份,确保备份数据是最新的,以免影响 Swarm 配置。
所以,如果你的 Swarm 需要高可用性,建议启用 --autolock,并定期备份 Swarm 解锁密钥!