开发者社区> 艾贺> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

Docker远程TLS管理

简介: 首先介绍一个好用的Docker管理软件,Portainer,好用便捷,让你轻松无压力的管理Docker环境。 我们不会只有一个Docker服务,一般都是多个Docker服务,这个时候需要中心化管理多个Docker服务,这在Potainer中即添加新的入口点。
+关注继续查看

首先介绍一个好用的Docker管理软件,Portainer,好用便捷,让你轻松无压力的管理Docker环境。

我们不会只有一个Docker服务,一般都是多个Docker服务,这个时候需要中心化管理多个Docker服务,这在Potainer中即添加新的入口点。默认情况下Docker是不开启远程访问的。需要进行一些配置,下面演示下如何配置Docker的远程访问,与安全的Docker访问。

演示

简单配置

  1. 直接开启远程访问,无安全措施。
dockerd -H 0.0.0.0    #监听所有tcp连接,默认端口是6375
  1. 在systemd下,则需要修改docker.service,修改Service部分的ExecStart。
ExecStart=/usr/bin/dockerd -H 0.0.0.0 
  1. 然后任何人都可以直接访问Docker的端口,很不安全。

安全的Docker访问

创建CA,Server和客户端key通过openssl. 自建CA,我们需要对openssl进行一些配置。

  1. 找到openssl.conf配置文件进行配置。
    在CentOS下,openssl.conf位于/etc/pki/tls/,在Mac下,通过brew安装的则位于/usr/local/etc/openssl/下。

  2. 编辑openssl.conf的CA部分


    img_9482803560dbb073d300b84fdb71bd7f.png
    openssl.conf CA部分

确保你配置的目录下,有你准备好的目录。

mkdir -p {certs,private,tls,crl,newcerts}
echo 00 > serial   #注意serial要有数字,不然会报错
touch index.txt
  1. 生成私钥,并自签证书
    参考配置文件的位置,配置文件中的private_keycertificate位置。
openssl genrsa -out private/cakey.pem -des 1024
openssl req -new -x509 -key private/cakey.pem -days 3650 -out cacert.pem
... 需要填写一些资料,国家,省份什么的。
  1. 颁发证书
    4.1 生成要颁发证书的密钥文件,这个可以在任何主机上操作,我们已经自签了CA。
openssl genrsa -out private/test.key 1024

4.2 生成证书请求

openssl req -new -key private/test.key -days 365 -out test.csr

4.3 颁发证书

openssl ca  -in test.csr -out certs/test.crt -days 365
... 填写国家省份什么的,注意配置文件里面有规定至少和CA证书的国家,省份等必须要要有几项一致的。
  1. 将CA证书,颁发的证书,私钥保存起来使用。比如在刚才的Docker配置中,加密的Docker访问方式。
/usr/bin/dockerd --tls --tlscacert=/home/data/cert/cacert.pem \ 
--tlscert=/home/data/cert/certs/test.crt  \
--tlskey=/home/data/cert/private/test.key \
-H 0.0.0.0:2376
  1. 测试Docker访问。
    注意:这里的00.pem就是刚才生成的test.crt
curl -k https://localhost:2376/images/json  \ 
--cert /home/data/cert/cacert.pem \
--key /home/data/cert/private/test.key \
--cert /home/data/cert/newcerts/00.pem  | jq
img_934c117c2c49d033a5c2f6ff0d424c61.png
Curl访问Docker
  1. 配置docker访问
mkdir -pv ~/.docker
#cp -v {ca,cert,key}.pem ~/.docker
cp /home/data/cert/cacert.pem  ~/.docer/ca.pem
cp /home/data/cert/private/test.key  ~/.docer/key.pem
cp /home/data/cert/newcerts/00.pem  ~/.docer/cert.pem
export DOCKER_HOST=tcp://$HOST:2376 DOCKER_TLS_VERIFY=1
  1. 在portcaniner中配置新的endpoint
    刚才的CA证书,服务器证书,服务器密钥都有了,可以直接使用


    img_f6ea347904b4b11e14fcb4024001ffa5.png
    portaniner配置
  2. 看结果


    img_6a276eb1f6cc679d1f490edba254903a.png
    image.png

总结

服务器的安全是一个很重要的技能,关于安全方面的还可以继续加强。这篇文章主要介绍了如何配置Docker来使用portainer远程管理Docker,然后介绍了安全的方式配置Docker与管理Docker。

附录

img_4dc0650d2f37adb79f596708476225ed.png
当时的命令记录

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用阿里云管理Docker镜像
使用阿里云管理Docker镜像
0 0
Docker swarm 管理 secrets
Docker swarm 管理 secrets
0 0
Docker 容器管理
Docker 容器管理
0 0
Docker 镜像管理
Docker 镜像管理
0 0
【云原生Docker篇】Docker的容器管理操作(下)
1、创建容器 容器创建:就是将镜像加载到容器的过程。 创建容器时如果没有指定容器名称,系统会自动创建一个名称。 新创建的容器默认处于停止状态,不运行任何程序,需要在其中发起一个进程来启动容器。
0 0
【云原生Docker篇】Docker的容器管理操作(上)
1、创建容器 容器创建:就是将镜像加载到容器的过程。 创建容器时如果没有指定容器名称,系统会自动创建一个名称。 新创建的容器默认处于停止状态,不运行任何程序,需要在其中发起一个进程来启动容器。
0 0
【云原生Docker系列第十一篇】Docker harbor私有仓库部署与管理(有故事的人根本不会讲故事)(三)
【云原生Docker系列第十一篇】Docker harbor私有仓库部署与管理(有故事的人根本不会讲故事)(三)
0 0
【云原生Docker系列第十一篇】Docker harbor私有仓库部署与管理(有故事的人根本不会讲故事)(二)
【云原生Docker系列第十一篇】Docker harbor私有仓库部署与管理(有故事的人根本不会讲故事)(二)
0 0
【云原生Docker系列第十一篇】Docker harbor私有仓库部署与管理(有故事的人根本不会讲故事)(一)
【云原生Docker系列第十一篇】Docker harbor私有仓库部署与管理(有故事的人根本不会讲故事)(一)
0 0
+关注
艾贺
专注开发,架构知识
文章
问答
文章排行榜
最热
最新
相关电子书
更多
玩转Docker社区–“码头工人”的技术进阶心得
立即下载
Docker 镜像原理和最佳实践
立即下载
4天实战 轻松玩转docker
立即下载