Monitoring ist ein wichtiges Instrument als DevOp, in der Regel bekommt man so schon mit, dass ein Service nicht ganz rund läuft, bevor es Probleme für den Kunden bedeutet. Genauso kündigen sich ausfallende oder knapper werdende Ressourcen in der Regel an und treten nicht „urplötzlich“ auf.

Eines der Standard-Werkzeuge für diesen Fall ist Prometheus, das ein recht ausgefeiltes Monitoring bietet. Häufig wird es im Einsatz mit Containern durch cAdvisor ergänzt, damit erhält man auch einen Einblick in die einzelnen Docker-Container, welche auf dem System laufen. Für das Host-System gibt es von Prometheus den node-exporter.

Was man aber auch immer auf dem Schirm haben sollte: Im Wesentlichen sind die Agenten (bzw. Exporter) einfache Transformationsmaschinen, welche aus der Vielzahl von Informationen, die ein jedes System bereit stellt, ein standardisiertes Format machen und es ausgeben. Im konkreten Fall erfolgt die Ausgabe per http bzw. hoffentlich per https. Womit wir auch schon beim Knackpunkt der Geschichte wären: Man kommt sich an dieser Stelle wieder ins „gute alte Internet“ zurück versetzt vor, in dem Sicherheit kein große Rolle gespielt hat und alles mehr oder weniger „frei“ zugänglich war. Das zeigt sich leider bereits in den Tutorials: dort wird erst einmal beschrieben, wie man einen Service generell aufsetzt, aber es fehlt der eindeutige Hinweis, wie man die Dinge hinterher auch so vernagelt, dass nur berechtigte Personen das mitlesen können bzw. überhaupt an die Informationen heran kommen können. Man möchte doch nicht gerade exponieren, was auf einem Server alles an Containern läuft, das sollte eigentlich mittlerweile jeder Hobby-Admin auf dem Schirm haben, im professionellen Bereich ist es auch eine Selbstverständlichkeit.

Schaut man sich die Dokumentation insbesondere der Exporter an, so bekomme zumindest ich schon wieder ein schlechtes Gefühl: Vielfach wird darauf verwiesen, das Abschirmen der Container per Reverse-Proxy zu lösen. Das ist sicherlich ein technisch gangbarer Weg, aber es zeigt auch wieder ein wenig die Einstellung der Macher dieser Software: „Not my business“ bzw. „not implemented here“. Es gibt in beiden Fällen zwar Möglichkeiten, TLS und auch zumindest Basic-Auth zu implementieren, aber das ist eher ein Tropfen auf den heißen Stein. Den Vogel (passenderweise ist das Maskottchen eine Eule) schießt cAdvisor ab: Man kann zwar Basic-Auth setzen, aber es bezieht sich nur auf die Endpunkte der GUI, die API und die maschinenlesbaren Metriken sind weiterhin ohne jeglichen Passwort-Schutz abrufbar, so lange man die URL kennt (oder durchprobiert). Hierzu gibt es einen interessanten Artikel von TrendMicro.

Die Lösung, die wieder häufig propagiert wird, ist: Lass uns eine Sicherheitssoftware davor schalten, in diesem Fall einen Reverse-Proxy, der kann dann auch die Authentifizierung und das TLS übernehmen. Das klingt im ersten Moment ja noch recht brauchbar, aber es bringt eine weitere Komponente ins Spiel, die man warten muss. Bei vielen Installationen, die sich einen Docker-Host teilen, ist ein Loadbalancer / Reverse-Proxy aber ohnehin installiert. Häufig wird in diesem Zusammenhang Traefik eingesetzt, das hat den Vorteil, dass es sich eigentständig über kommende und gehende Webservices / Container informiert und die Konfiguration dazu aus den Labels des Docker-Containers ableitet. So hat man immerhin den Teil der Reverse-Proxy-Konfiguration für den eigenen Service noch ein Stück weit im Griff.

Ein Compose file sieht dann beispielsweise wie folgt aus:

name: cadvisor
services:
  cadvisor:
    image: gcr.io/google-containers/cadvisor:latest
    container_name: cadvisor
    labels:
      - traefik.enable=true
      - traefik.docker.network=traefik
      - traefik.http.routers.cadvisor.entrypoints=web
      - traefik.http.routers.cadvisor.rule=Host(`cadvisor.example.org`)
      - traefik.http.services.cadvisor.loadbalancer.server.port=8080
      - "traefik.http.middlewares.cadvisor.basicauth.users=USER:PASSWORD"
      - traefik.http.routers.cadvisor.middlewares=cadvisor
    volumes:
      - /:/rootfs:ro
      - /var/run:/var/run:rw
      - /sys:/sys:ro
      - /var/lib/docker/:/var/lib/docker:ro
    restart: always
    environment:
      - no_proxy="localhost,127.0.0.1"
      - HTTP_PROXY=
      - http_proxy=
    networks:
      - cadvisor
      - traefik
networks:
  cadvisor:
    name: cadvisor
  traefik:
    external: true

Dabei gibt es einige kleine Fallstricke, die man beachten muss:

Das Passwort muss als Hash eingetragen werden, damit es im YAML nicht zerbröselt wird beim Interpretieren, muss man die „$“ verdoppeln (Escaping). Sonst fühlt sich der YAML-Interpreter angesprochen und versucht die Variablen zu substituieren, was nicht funktioniert und im Zweifel auch erst einmal nicht ganz „eindeutige“ Fehlermeldungen nach sich zieht.

Sofern man einen Proxy einsetzt und diesen für den Dockerhost entsprechend konfiguriert hat, so muss man mit dem cAdvisor aufpassen, dieser hat einen Health-Check per „wget“ implementiert. Allerdings ist es kein Standard-Wget sondern das aus Busybox. Das ignoriert leider die Umgebungsvariable „no_proxy“ ziemlich gekonnt, vorsichtshalber kann man sie setzen, aber man muss auch den Proxy deaktivieren, indem man die Variablen explizit auf einen leeren String setzt.

 Hat man diese beiden Fallstricke gemeistert, erkennt Traefik auch einen cAdvisor-Container richtig und man exponiert nicht mehr einfach mal so die ganzen Metriken nach draußen.

Ich erspare mir hier jetzt weitere Erläuterungen, wie es um Ende-zu-Ende Kommunikation und insbesondere bei gerouteten IPv6-Containern aussieht: Leider nicht wirklich gut, auch da muss man sich einen Reverse-Proxy davor bauen, den man eigentlich mit IPv6 nicht mehr nötig hätte.

Insgesamt täte es vielen Container-Entwicklungen mittlerweile echt gut, wenn Authentifizierung und TLS nicht immer als ein „Problem anderer Leute“ (Erklärung: https://hitchhikers.fandom.com/wiki/Somebody_Else%27s_Problem_Field) betrachten würden, sondern es endlich zum guten Standard wird, den man bei jeder Entwicklung zeitnah mitdenken sollte. Nahezu jedes brauchbare Framework bringt heute die passenden Tools dazu mit, man muss sich nur ein wenig damit beschäftigen.

Tageskilometer 15km

Heute haben wir eher einen Ruhetag eingeplant, denn eine weitere Etappe auf unserer Tour. Wir hatten den Kindern schon länger einmal versprochen, das Ravensburger Spieleland zu besuchen. Beim letzten Allgäuurlaub war das etwas zu kurz gekommen.

Vom Campingsplatz aus sind es gerade einmal etwas mehr als 5km. Der Anfang ist auch recht locker, denn es geht bergab. Dass wir das auch wieder rauf müssen, blenden wir erst einmal gekonnt aus. Die Strecke führt uns dann entlang der Bundesstraße in Richtung Spieleland. Kurz vor Liebenau müssen wir eine Baustelle umfahren, der Weg ist aber ordentlich beschildert. Als wir an einem Autohaus vorbei kommen, frage ich kurzerhand nach einer Schraube für Glens Gepäckträger, diese hatte sich bei den ganzen Schlaglöchern gelockert und irgendwann auf nimmerwiedersehn verabschiedet. Die Mitarbeiter sind super freundlich und es findet sich ein passendes Ersatzteil gegen eine Spende in die Kaffee-Kasse. Somit besteht auch vorläufig keine Gefahr mehr, dass uns der Gepäckträger auseinander bricht.

Bis zum Ziel des Tages ist es dann nicht mehr weit, wobei der Wegweiser schon irgendwie für Eltern und Kinder in getrennte Richtungen weist: Eltern links ab ins Hopfenmuseum, Kids nach rechts zum Spieleland. Natürlich radeln wir alle bis zum Spieleland 😉 Der Radstellplatz ist durchdacht und liegt unter Bäumen im Schatten. Es gibt nur eine minimal Schlange vor dem Eingang, die Preise sind nicht zu verachten, aber man macht es ja nicht alle Tage.

Direkt nach dem Eingang nehmen wir erst einmal die Rundbahn (Brio-Style, wenn man schon im originalen Brio-Museum war, ist das ja schon fast eine Pflicht). Somit bekommen wir einen ersten Eindruck über die verschiedenen Bereiche des Parks. Es ist recht voll, aber nicht überfüllt. Ohne Anstehen geht dennoch fast nichts.

Auf dem Weg zum Futureland (im Gravitrax-Stil gehalten), nehmen wir noch Billy Biebers Rafting mit, angesichts der Hitze kommt die Abkühlung durch Spritzwasser und Co gerade recht. Highlights der Runde sind die große Rutsche zu Beginn (mit Raft-Aufzug) und der große Strudel.

Auch am Weg liegt das Rutschen-Paradies mit allerlei schrägen Rutschen in extra-lang bzw. steil: Eine Wellenrutsche, eine Röhrenrutsche und eine Free-Fall-Rutsch stehen zur Auswahl, der Andrang ist nicht wirklich groß und man kommt nahezu direkt an die Reihe. Bei der Free-Fall muss ich mich schon ein wenig überwinden, aber klar: Wenn die Kinder das vormachen, dann kann Papa gar nicht anders.

Am Futureland müssen wir uns dann wieder einreihen für die Achterbahn: Diese hat zwei verschiedene Gondeln: einmal Spinner (dreht in der Horizontalen gegenüber der Bahnebene) und Looper (dreht in der Vertikalen in Fahrtrichtung). Nach der ersten Runde tauschen die Eltern das Gefährt. Ich muss sagen: der Looper macht mir mehr Spaß, Glen hat nach der zweiten Runde dann etwas mit der Übelkeit zu kämpfen. Dennoch gehen wir weiter zum 4D-Kino, bei dem man einer Murmel hinterher rollt. Das ist dann für Glen zu viel und ihm wird richtig übel, so dass wir den Film unterbrechen müssen und das Kino verlassen.

Im Schatten auf einem der Spielplätze nebenan erholen wir uns und machen erst einmal Mittagessen. Danach drehen die Jungs einige Runden auf den Tret-Karts (Moon-Racer). Mit dem drehbaren Aussichtsturm verschaffen wir uns einen Überblick über die umgebende (hügelige) Landschaft. Zudem gönnen wir uns noch eine Cola (die Preise innerhalb des Parks sind echt unverschämt, gut, dass wir Wasser in Flaschen mitführen).

Die nächste Attraktion ist die „World of Memory“, auch wieder eine Art 4D-Kino mit Rundreise um die Welt, aber zusätzlich mit Interaktion, per Joystick wählt man Memory-Karten aus, um sich mit den anderen Mitfahrern im Wagen zu messen.

Ein echter Klassiker darf natürlich nicht fehlen: Das verrückte Labyrinth, allerdings in Lebensgröße. Verschoben werden allerdings nicht ganze Segmente, stattdessen gibt es (Schiebe-)Türen. Ziel sind wie im Vorbild vier verschiedene Punkte des Labyrinths, an denen man seine Spielkarte per Lochzange als erreicht markiert.

Als nächstes gibt es einen Familien-Wettstreit beim Feuerlöschen: erst zum Brandort kurbeln und dort dann per Kurbel das „Feuer“ lange genug löschen und natürlich auch die Rückfahrt muss gemeistert werden. Die Runde entscheide ich mit Yann knapp für mich.

Da hauptsächlich die Eltern bei dem Spiel in der Hitze aus der Puste gekommen sind, ist es gut, dass die Kids sich danach beim Schnecken-Scooter (der Alptraum eines jedes Kleingärtners) selbst beschäftigen können.

Wir finden noch weitere Attraktionen die wir noch nicht ausprobiert hatten: In der Baggermulde geht mit richtigen Minibaggern ans große Buddeln .“na wer steht denn so spät noch am Baggerloch ….“, Auch nicht schlecht und direkt nebenan ist die gigantische Wasserrutsche mit Gummiboten, auch hier gibt es wieder einen Wettbewerb auf zwei parallelen Bahnen. Das macht richtig Laune und erfrischt, denn es ist immer noch brütend warm.

Die Sommerrodelbahn hat man etwas aufgebohrt, statt nur mit Schwerkraft und Schlepplift geht es hier vollständig elektrisch zur Sache. Auch keine schlechte Idee – ich gebe natürlich Vollgas und so ist die Runde viel zu schnell wieder zu Ende.

Glen möchte noch einen Versuch am 4D-Kino in der Future World machen. Diesmal klappt es ohne Unterbrechung, auf dem Weg zum Ausgang gehen wir nochmal Memory spielen, gerade noch so: Wir sind fast die letzte Gruppe des heutigen Tages.

Einige Bereiche haben wir gar nicht erreicht, aber für den Tag ist nun auch Schluss, denn der Park schließt.

Wir radeln frohgemut zu einem Gasthof einen Ort weiter, laut Google sollte der im Gegensatz zum Gasthof in der Nähe des Campingplatz offen haben. Leider Fehlinformation: Montag und Diestag Ruhetag. Immerhin nicht zu viel Umweg, am Automaten des Hofs nehmen wir noch zwei Liter Apfelsaft zur Stärkung mit. Unser nächstes Ziel ist eine Pizzaria in Obereschach, die hat zwar auf, aber man beachtet uns als Gäste fast 20 Minuten nicht und vom Nachbartisch erfahren wir, dass man dort bereits seit einer Stunde auf eine Pizza wartet. Kurzerhand quittieren wir den schlechten Service und gehen wieder. Yann ist total gefrustet und macht die nächsten Kilometer lautstark darauf aufmerksam. Die letzte Chance, die wir jetzt anfahren liegt leider auf dem Berg: wir quälen uns nach oben ans Hofgut Hügle. Das ist dem Aussehen nach erst diese Saison eröffnet und ein vergleichsweise großer Komplex. Modern eingerichtet mit großem Freibereich. So ganz schlüssig ist das Konzept aus Restaurant und Selbstbedienung noch nicht, aber immerhin bekommen wir noch etwas zu Essen und zu Trinken. Wir lernen was eine Dinette ist: die lokale Art der Pizza bzw. Flammkuchen, belegt mit Speck und Kartoffeln – sehr lecker. Preislich ist das ganze nicht gerade ein Schnäppchen, aber immerhin endlich etwas.

Damit wir nicht wieder den Berg runter und wieder hoch müssen, um an den Campingplatz zu kommen, fahren wir über Gornhofen, dafür müssen wir nochmal ein wenig zusätzliche Höhenmeter in Kauf nehmen, was nicht gerade auf Gegenliebe stößt. Es wird schon richtig dunkel, als wir durch den Wald oberhalb des Campingplatz um den Weiher fahren, dort geht es größtenteils bergab auf geschotterten Wegen – gut zu wissen, denn morgen werden wir hier vermutlich nach oben strampeln.

Insgesamt ein sehr schöner und abwechslungsreicher Tag mit etwas Pech bei den Ruhetagen der Restaurants. Ziemlich müde fallen wir ins Bett bzw. kriechen in die Schlafsäcke.