Asp.Net Core 分散式Session – 使用 Redis

Session 是Web開發中可能會碰到的東西﹐雖然使用Session對於應用系統來說壞處多於益處﹐但有時在某些場景下或許有不得不用的情形﹐先不談其它的﹐Session就像是個全域性變數﹐隨時都可宣告﹐隨地都可修改內容﹐又任何時候都可信手拈來的使用﹐非常方便﹐可是就因為太方便了﹐若沒有好好的控管﹐很容易讓系統在出了問題時很難追查原因。在我曾接手過的案子就常見這種讓人恨的牙癢癢的系統。雖然要避免濫用Session﹐但還是不得不要了解Session的使用﹐由其是在分散式環境下要如何解決Session共用的問題。

分散式環境多台應用程式主機﹐如何解決Session的方式有很多種﹐例如server之間session同步﹑使用者端儲存﹑使用資料庫儲存…﹐各種方式都已經行之有年﹐各有好壞﹐不是什麼絕對的方式﹐主要還是要取決系統的用途﹑架構﹑用戶流量﹑預算…各種原因來決定那一種方式是比較洽當的。這裏要討論的是在 .Net Core 及容器化之下透過 Redis 來達成 Session 共用的方式。

在開始之前﹐先看一下預期要做的目標

目標： 一個 .Net Core 應用程式﹐在 loadbalancer 環境下多個 AP Server 的 Session 能互相共用﹐即使瀏覽器被導到不同的主機 session 仍然可以讀取的到而不致於中斷﹐這樣當某一台 AP Server 出問題時系統還是可以繼續運作。

架構：根據上述目標繪製出以下架構

這裏為了儘量和實際上線後的環境相同﹐建立兩個虛擬主機 A 和 B﹐並且都安裝了Docker以容器化來執行﹐主機 A 中安裝了Nginx container 做為 loadbalancer﹐另外將應.Net Core 應用程式建立 Image 後產生三個不同port的container 來模擬不同的AP Server﹐主機 B 則安裝了Redis container供主機A中的應用程式共享Session﹐Redis for Docker 如何安裝參考 Redis Server Install.docx文件中的描述。(做完後我才想起來﹐我用 docker 幹嘛這麼搞剛的多弄了一台虛擬主機呢…=__=!)

應用程式準備

在環境建置前﹐先準備應用程式﹐這是個簡單的MVC程式﹐有兩個頁面﹐內容相同﹐都是要顯示session的內容並顯示Server Host Name﹐這是為了要證明在第一個頁面送出Reauest切換到第二個頁面是不是同一個Server Response資料﹐而Session 的內容是否仍然還在。

這兩個頁面都有設置了[Authorize]﹐所以一開始未登入會被導到Login頁面。

現在建置這個程式﹐我不打算一步到位﹐我希望在既有程式有使用session的狀況下加入Redis時會有什麼樣的差別﹐所以先寫出只有Session的應用程式。

在Program.cs中加入session必要的部分

Program.cs
……
#region use session
builder.Services.AddSession(options => {
    options.Cookie.Name = ".dist.Session";
    options.IdleTimeout = TimeSpan.FromSeconds(300);     // 設定 Session 過期的時間, 300 sec
});
#endregion
……
var app = builder.Build();
……
app.UseSession();
……

新增 LoninController﹐在LoginController登入時將資料寫入 Session 後導至 HomeController的 Index

LoginController.cs
public IActionResult Login() {
    string svrhost = utils.GetHostName();
    ViewData["SvrHost"] = svrhost;

    return View();
}

[HttpPost]
public async Task<IActionResult> Login(UserData userData) {
    userData.LoginTime = DateTime.Now;
    HttpContext.Session.Set<UserData>("User", userData);

    #region 不使用 ASP.NET Core Identity 的 Cookie 驗證
    var claims = new List<Claim> {
                new Claim(ClaimTypes.Name,userData.AgentId),  //登入者帳號
                new Claim("FullName",userData.AgentName),     //登入者姓名
                new Claim("LoginTime",userData.LoginTime.ToString()),  //登入時間
                new Claim(ClaimTypes.Role,userData.RoleID)
            };

    var claimsIdentity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme);

    var authProperties = new AuthenticationProperties {

    };

    //登入
    await HttpContext.SignInAsync(
        CookieAuthenticationDefaults.AuthenticationScheme,
        new ClaimsPrincipal(claimsIdentity),
        authProperties);
    #endregion

    return RedirectToAction("Index", "Home", null);
}

在HomeController的Index中取得Session並顯示Session的內容﹐頁面上也顯示Server的IP和Hostname﹐由此來觀察瀏覽器現在是由那一台主機Response資料

ps. Asp.net Core Session 存放物件必須自行撰寫序列化﹐因為不是這篇的重點﹐這裏就不詳述﹐請自行google或參考程式碼

HomeController.cs
public IActionResult Index() {
    UserData user = null;
    string svrip = utils.GetServerIP();
    string svrhost = utils.GetHostName();

    ViewData["SvrIp"] = svrip;
    ViewData["SvrHost"] = svrhost;

    if (HttpContext.Session.Get<UserData>("User") != null) {
        user = HttpContext.Session.Get<UserData>("User");
    }

    return View(user);
}

Home\Index View

Home Index.cshtml
@model DistSession.ViewModel.UserData
@{
    ViewData["Title"] = "Home Page";
}

<div>
    <h4>Home</h4>

    <dl class="row">
        <dt class="col-sm-2">Server IP</dt>
        <dd class="col-sm-3">@ViewData["SvrIp"]</dd>
        <dt class="col-sm-2">Host Name</dt>
        <dd class="col-sm-3">@ViewData["SvrHost"]</dd>
    </dl>

    <dl class="row">
        <dt class="col-sm-2">@Html.DisplayNameFor(model=>model.AgentId)</dt>
        <dd class="col-sm-9">@Html.DisplayFor(model=>model.AgentId)</dd>
        <dt class="col-sm-2">@Html.DisplayNameFor(model=>model.AgentName)</dt>
        <dd class="col-sm-9">@Html.DisplayFor(model=>model.AgentName)</dd>
        <dt class="col-sm-2">@Html.DisplayNameFor(model=>model.DeptID)</dt>
        <dd class="col-sm-9">@Html.DisplayFor(model=>model.DeptID)</dd>
        <dt class="col-sm-2">@Html.DisplayNameFor(model=>model.DeptName)</dt>
        <dd class="col-sm-9">@Html.DisplayFor(model=>model.DeptName)</dd>
        <dt class="col-sm-2">@Html.DisplayNameFor(model=>model.RoleID)</dt>
        <dd class="col-sm-9">@Html.DisplayFor(model=>model.RoleID)</dd>
        <dt class="col-sm-2">@Html.DisplayNameFor(model=>model.LoginTime)</dt>
        <dd class="col-sm-9">@Html.DisplayFor(model=>model.LoginTime)</dd>
    </dl>
</div>

Page2Controller 則和HomeController相同﹐是為了測試在分散式環境下切換不同頁面時資料是由那一台主機Response。

程式在本機執行沒有什麼問題﹐所以就不貼畫面﹐將程式進行發佈﹐因為後續程式是在Ubuntu的容器下執行﹐所以發佈的目標為Linux-64

img

接下來就準備將發佈的程式上傳到主機A﹐以Docker container方式執行﹐到此我們先去建立主機 A 和 B 的環境。

環境架設

主機B：這裏安裝的是Redis 6.2.10﹐安裝與設定方式參考 Redis Server 6.x for Ubuntu 20.04 Install--續

主機A

安裝 Nginx﹐用來模擬loadbalancer

1. 下載 nginx docker

$docker pull nginx

img

測試 nginx

$docker run –name nginx-test -d -p 8880:80 nginx:latest

剛安裝好的nginx ﹐啟動應該不會有什麼問題﹐所以應該可以開啟Browser進行測試nginx是否真的啟動成功

http://xxx.xxx.xxx.xxx:8880

1. 上傳應用程式

在主機A 上建立要上傳的目的資料夾

$mkdir myapp

$mkdir dist

在本機開啟CMD視窗﹐以scp 指令上傳檔案至主機A上

scp -r 本機資料夾 帳號@目的主機IP:目標路徑

-r 表示包含資料夾下的子資料夾

1. 編寫 Dockfile 檔案

FROM mcr.microsoft.com/dotnet/aspnet:6.0    # 使用 .Net 6 Runtime 的 image
RUN mkdir c:\app                            # 在容器中的 c 根下建立一個名稱為 app 的資料夾
COPY publish/ /app                          # 將地端 publish 資料夾下的東西 copy 到容器中的 app 之下
WORKDIR /app                                # 將容器中的工作目錄設為 app
ENTRYPOINT ["dotnet","DistSession.dll"]     # 以 dotnet 執行 DistSession.dll (以Ketral執行)

1. 建立Image

$ docker build -t dist:1.0 .

1. 建立 Container

$ docker run -it -d -p 80:80 --name=dist dist:1.0

現在container 已啟動﹐可以先開browser測試﹐是否可以正常執行

1. 執行程式

打開瀏灠器輸入網址 http://10.0.100.61

在登入頁先取得Server 的 Host name﹐因為是執行在Docker container 所以取得的是 Container ID

登入後被導至Home畫面﹐顯示的 Host name和 登入頁是相同的﹐而畫面的值是在登入時將值存入了 Session[“User”]﹐Home的畫面則將Session[“User”]值再取出顯示。

點擊上方Page2﹐切換到 Page2的畫面﹐可以看到資料和Home顯示的都相同﹐因為現在只有一個container﹐所以都在同一個container執行﹐取得的 Host name 也都相同。

現在將主機A上這個container刪除﹐我們改為三個container﹐並設定 Nginx 做Loadbalancer。

設定 Loadbalance 環境

1. 建立容器群網路﹐網路內的容器可直接互連

$docker network create webtest

1. 建立三個container

使用前面已經建好的image dist:1.0建立三個不同port的container

$docker run -d --name dist001 --network="webtest" -p 10001:80 dist:1.0 $docker run -d --name dist002 --network="webtest" -p 10002:80 dist:1.0 $docker run -d --name dist003 --network="webtest" -p 10003:80 dist:1.0

1. 編寫 nginx.conf

http{
 upstream dist.localhost {
    server dist001:80;   # 這裏的80 port 指的是容器內的 port, 不是 expose 的10001 port
    server dist002:80;
    server dist003:80;
 }
 
 server {
   listen 10000;     # 監聽 10000

   #ssl_certificate /etc/nginx/certs/demo.pem;
   #ssl_certificate_key /etc/nginx/certs/demo.key;

   gzip_types text/plain text/css application/json application/x-javascript
              text/xml application/xml application/xml+rss text/javascript;

   server_name localhost;

   location / {
       proxy_pass http://dist.localhost;
   }
 }
}

 events {
   worker_connections  1024;  ## Default: 1024
 }

在主機 A上建立資料夾

$ mkdir nginx $ cd nginx $ mkdir conf.d

img

建立後像這樣

然後將nginx.conf 上傳到主機 A 的 ~/nginx/conf.d 之下

接著將原本已執行的nginx container 刪除﹐重新建立nginx 的container

$ docker run --name web-test-nginx --network="webtest" -p 10000:10000 -v /home/kevin/nginx/conf.d/nginx.conf:/etc/nginx/nginx.conf:ro -itd nginx nginx-debug -g 'daemon off;'

1. 執行程式測試

在執行程式前我們先觀察一下目前三個應用程式的container id﹐注意目前程式只有使用一般的session﹐還未做任何分散式的做法

分別是d3195ed0202c, c7adc1d98a98, 445991c3dbc5 這三個﹐因為在Nginx 設定的監聽為10000 port﹐所以執行程式為 http://10.0.100.61:10000, 在按下登入前﹐畫面顯示的Host Name是c7adc1d98a98

按下登入後並沒有進入系統而是又回到了登入頁﹐這時看到畫面的Host Name變成了445991c3dbc5

到主機A下指令檢查container 的Log

$ docker logs c7adc1d98a98

warn: Microsoft.AspNetCore.Session.SessionMiddleware[7]
      Error unprotecting the session cookie.
      System.Security.Cryptography.CryptographicException: The key {c92ec8a9-71a8-4e3a-b4fb-d3ff2f387e9c} was not found in the key ring. For more information go to http://aka.ms/dataprotectionwarning
         at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.UnprotectCore(Byte[] protectedData, Boolean allowOperationsOnRevokedKeys, UnprotectStatus& status)
         at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.Unprotect(Byte[] protectedData)
         at Microsoft.AspNetCore.Session.CookieProtection.Unprotect(IDataProtector protector, String protectedText, ILogger logger)
.....

檢視另外兩個 container log 都有類似的錯誤﹐這是因為經過 nginx 導流到不同台 server 找不到 session 的關係。

加入Redis 做分散式Session

主機B已經架設好Redis﹐這裏安裝了 Another Redis Desktop Manager做觀察﹐redis是安裝於10.0.100.61從畫面來看連線沒有問題

應用程式加入Redis套件

1. 開啟NuGet安裝Microsoft.Extensions.Caching.StackExchangeRedis套件, 最新版是7.0.3支援.Net 7﹐不過專案是 .Net 6避免出現問題﹐改安裝6.0.14版

2. 加入redis 連線字串

在appsettings.json中加入連線﹐這裏Redis設有密碼﹐並且指定第2個DB

"ConnectionStrings": {
    "RedisConnection": "10.0.100.60:6379,password=123456#,defaultDatabase=2"
  },

1. Programs.cs 加入Redis

#region 加入 redis 作分散式
builder.Services.AddStackExchangeRedisCache(options => {
    options.Configuration = builder.Configuration.GetConnectionString("RedisConnection");  //redis 連線
    options.InstanceName = ".dist.Session";
});
#endregion

#region use session
builder.Services.AddSession(options => {
    options.Cookie.Name = ".dist.Session";
    options.IdleTimeout = TimeSpan.FromSeconds(300);     // 設定 Session 過期的時間, 300 sec
});
#endregion

1. 重新發佈﹐重建image

將程式編譯後重新發佈﹐上傳至主機A﹐將原本的3個應用程式container及原本的image刪除﹐重建image﹐並重新建3個container﹐然後看一下現在3個新的container id

分別是9acb188f1c6f, 505ed16ba9c5, d05be6917a64﹐現在重新執行程式

一開始的Host Name是d05be6917a64, 按下登入後畫面依舊是回到了登入頁﹐Host Name變為9acb188f1c6f

這和我們預期的不一樣﹐我們看一下Another Redis Desktop Manager

畫面上Redis確實有資料﹐在剛剛程式中Program.cs中加入的代碼﹐給的InstanceName是”.dist.Session”

在Redis可以看到有個有一串很長的 ".dist.Session1206f240-7a9c-3686-9f34-2104840b3f5d"字串﹐開頭是”.dist.Session”就是我們程式所產生的Session﹐如果進入docker以redis-cli 查詢也可以看得到。

但程式並沒有登入畫面﹐這是為什麼？如果再去看看應用程式container的log會發現和先前的錯誤並沒有什麼兩樣﹐不過其實在之前的Log已經有線索了。

這裏提到一個東西DataProtection

1. Data Protection 機制

關於.Net Data Protection可參考微軟 ASP.NET Core資料保護概觀 | Microsoft Learn 文章﹐而這裏主要是在共享session時必須要有一致的Key來做加解密﹐當我們寫到Redis 的Session資料是被加密過的﹐如果沒有一致的私鑰那麼是無法正確的讀取共享的session。

開啟專案﹐再由Nuget找到Microsoft.AspNetCore.DataProtection.StackExchangeRedis 這個套件加入﹐這裏配合前面Microsoft.Extensions.Caching.StackExchangeRedis套件一樣案裝6.0.14版﹐接著開啟 Program.cs 加入DataProtection 相關的片斷程式

#region 將數據保護的秘鑰存儲為分布式
//安裝 Microsoft.AspNetCore.DataProtection.StackExchangeRedis
builder.Services.AddDataProtection()
    .PersistKeysToStackExchangeRedis(ConnectionMultiplexer.Connect(builder.Configuration.GetConnectionString("RedisConnection")), ".dist.Session");
#endregion

#region 加入 redis 作分散式
builder.Services.AddStackExchangeRedisCache(options => {
    options.Configuration = builder.Configuration.GetConnectionString("RedisConnection");  //redis 連線
    options.InstanceName = ".dist.Session";
});
#endregion

#region use session
builder.Services.AddSession(options => {
    options.Cookie.Name = ".dist.Session";
    options.IdleTimeout = TimeSpan.FromSeconds(300);     // 設定 Session 過期的時間, 300 sec
});
#endregion

重新發佈程式﹐並重新建立image和container

現在新的3個container id為aac2aa57a55a, 9af461700e14, 79aebc644f00﹐然後再執行程式測試

現在Host Name為9af461700e14﹐按下登入後這次順利登入了﹐在Home的頁面也帶出了Login時所寫入的Session的值﹐而畫面上這時出現的Host Name為79aebc644f00和登入頁是不同的

這時如果去點擊Page2﹐可以看到Host Name又不一樣了

如果這時候故意去將某一個container 停止或刪除﹐並不會影響系統的運作﹐因為有3個container 做loadbalance和備援﹐而session又是存放於Redis共享﹐系統仍然能夠繼續運作。

結語

透過Redis確實解決了Session 共享的問題﹐同時在既有的程式上只有在Program.cs中添加相關Redis的代碼﹐對於原本的程式代碼都可以不用動就完成了分散式session的功能﹐確實是很不錯。不過Session 的使用仍然要很小心。

原始碼：GitHub

參考

ASP.NET Core 中Session的分布式存储_FatTigerWang的博客-CSDN博客_core 存储session

Nginx Proxy建立Load Balance分流機制 – Paul's Recipe Book (g) (paulfun.net)

集群环境下，你不得不注意的ASP.NET Core Data Protection 机制_dotNET跨平台的博客-CSDN博客

ASP.NET Core資料保護概觀 | Microsoft Learn

Asp.Net Core 分散式Session – 使用 Redis