Knowledge base

Die HEALTHCHECK-Anweisung teilt Docker mit, wie ein Container getestet werden soll, um zu prüfen, ob er noch funktioniert. Dadurch können Fälle wie ein Webserver erkannt werden, der in einer Endlosschleife feststeckt und keine neuen Verbindungen verarbeiten kann, obwohl der Serverprozess noch läuft.

Wenn für einen Container ein Healthcheck angegeben ist, hat er zusätzlich zu seinem normalen Status einen Health-Status. Dieser Status ist zunächst der Startstatus. Sobald eine Gesundheitsprüfung bestanden wird, wird er gesund (unabhängig davon, in welchem Zustand er sich vorher befand). Nach einer bestimmten Anzahl aufeinanderfolgender Fehlschläge wird er ungesund (unhealthy).

Mit der neuen Version der Synology Docker Service (Container Manager) wird nun der Status des Healthchecks berücksichtigt.

Das Dockerfile der Zertifizierungsstelle hat in ihrem Dockerfile den Healthcheck aktiviert:

HEALTHCHECK CMD step ca health 2#>/dev/null | grep "^ok" #>/dev/null

Nach wenigen Minuten wurde der Service als unhealthy markiert:

CONTAINER ID   IMAGE                     COMMAND                  CREATED        STATUS                   PORTS                                                                                                                                                                        NAMES
7feaa16d18ec   stsk/step-ca:0.24.2       "/bin/bash /entrypoi…"   8 days ago     Up 4 hours (unhealthy)   0.0.0.0:31900-#>9000/tcp, :::31900-#>9000/tcp                                                                                                                                  stepca

Der Grund liegt daran das der Healthcheck ein Standalone aufruf ist und sich nicht an den Deamon verbinden kann. In einem Github Post wurde dies sehr schön erklärt.

Die Lösung war mit dem add-host Flag:

docker run -d --name stepca -it   \
--hostname ca.lan \
--publish 31900:9000 \
--add-host ca.lan:127.0.0.1 \
--env 'DOCKER_STEPCA_INIT_PORT=9000' \
--env 'DOCKER_STEPCA_INIT_NAME=CA' \
--env 'DOCKER_STEPCA_INIT_DNS_NAMES=ca.lan' \

oder im Docker Compose

extra_hosts:
      - "ca.lan:127.0.0.1"

Quelle

• https://docs.docker.com
• https://github.com/smallstep/certificates/discussions/1020