前言
喜歡折騰慢慢看,不喜歡折騰直接跳到小簡下文的一鍵指令碼那裡,兩分鐘搞好。
我的部落格:https://blog.ideaopen.cn
我的公眾號:小簡聊開發
開啟遠端訪問
編輯docker.service檔案
vi /usr/lib/systemd/system/docker.service
# 或者使用vim
vim /usr/lib/systemd/system/docker.service找到 Service節點,修改ExecStart屬性,增加 -H tcp://0.0.0.0:2375
這樣相當於對外開放的是 2375 埠,你也可以更改埠。
重新載入配置
systemctl daemon-reload
systemctl restart docker 嘗試訪問
重新整理配置後,可以透過IP:埠號訪問,如:127.0.0.1:2375。
但是前提是你防火牆開放了這個埠,不然是訪問不了的。
我這裡使用的是雲伺服器,就不開放埠了,沒有密碼暴露埠很危險。
埠放行
此段是對上文開放埠的補充。
虛擬機器Linux可以使用如下命令開放埠。
firewall-cmd --zone=public --add-port=2375/tcp --permanent
firewall-cmd --reload雲伺服器,如:阿里雲、騰訊雲,請前往伺服器管理放行埠。
配置安全(金鑰)訪問
官方文件已經提供了基於CA證書的加密方法:Docker Doc
再次說明,如果不設定安全金鑰訪問,那就不要用於生產環境!
在開發環境用用就行了,如果直接把
Docker這樣對外暴露是非常危險的,就和你資料庫對外開放,還不設定密碼一樣。
建立CA私鑰和CA公鑰
建立一個ca資料夾用來存放私鑰跟公鑰
mkdir -p /usr/local/ca
cd /usr/local/ca在Docker守護程式的主機上(也就是本機),生成CA私鑰和公鑰
openssl genrsa -aes256 -out ca-key.pem 4096執行完如上指令後,會要求我們輸入密碼。
注:Linux密碼不會展示,盲打就可以。
成功,我們檢視一下是否有檔案生成。
PEM就是證書檔案。
補全CA證書資訊
執行如下指令:
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem錄入資訊:
然後依次輸入:訪問密碼、國家、省、市、組織名稱、單位名稱、隨便一個名字、郵箱等。為了省事,組織、單位之類的(其實亂輸入也可以,嘿嘿嘿)。
國家只能兩個字元,就直接CN吧。
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:HuNan
Locality Name (eg, city) [Default City]:ChangSha
Organization Name (eg, company) [Default Company Ltd]:JanYork
Organizational Unit Name (eg, section) []:JanYork
Common Name (eg, your name or your server's hostname) []:JanYork
Email Address []:747945307@qq.com這樣CA證書就建立完成了,然後我們還需要去建立伺服器金鑰和證書籤名請求(CSR)了,確保“通用名稱”與你連線Docker時使用的主機名相匹配。
生成server-key.pem
openssl genrsa -out server-key.pem 4096用CA簽署公鑰
我們可以透過IP地址和DNS名稱建立TLS連線,因此在建立證書時需要指定IP地址。例如,允許使用127.0.0.1的連線。
openssl req -subj "/CN=127.0.0.1" -sha256 -new -key server-key.pem -out server.csr如果是使用域名,同理。
openssl req -subj "/CN=ideaopen.cn" -sha256 -new -key server-key.pem -out server.csr注:填寫的IP或者域名,都是將來對外開放的地址,也就是用於連線的地址。匹配白名單
設定允許哪些IP可以遠端連線docker。
允許指定
IP可以遠端連線docker。echo subjectAltName = DNS:$HOST,IP:XX.XX.XX.XX,IP:XX.XX.XX.XX >> extfile.cnf$HOST是你的IP或者域名,使用時將$HOST替換為自己的IP或者域名。如:
# 127.0.0.1 伺服器上的 docker,只允許ip地址為225.225.225.0的客戶連線 echo subjectAltName = DNS:127.0.0.1,IP:225.225.225.0 >> extfile.cnf # ideaopen.cn 伺服器上的 docker,只允許ip地址為225.225.225.0的客戶連線 echo subjectAltName = DNS:ideaopen.cn,IP:225.225.225.0 >> extfile.cnf允許所有
IP連線設定
IP為0.0.0.0即可。如:
echo subjectAltName = DNS:127.0.0.1,IP:0.0.0.0 >> extfile.cnf注:但只允許永久證書的才可以連線成功
執行命令
將Docker守護程式金鑰的擴充套件使用屬性設定為僅用於伺服器身份驗證。
echo extendedKeyUsage = serverAuth >> extfile.cnf生成簽名證書
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out server-cert.pem -extfile extfile.cnf然後輸入之前的密碼。
生成客戶端Key(key.pem)
openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr使秘鑰適合客戶端身份驗證
建立擴充套件配置檔案:
echo extendedKeyUsage = clientAuth >> extfile.cnf
echo extendedKeyUsage = clientAuth > extfile-client.cnf生成簽名證書(cert.pem)
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out cert.pem -extfile extfile-client.cnf輸入之前的密碼。
刪除多餘檔案
可以看到有很多檔案生成:
生成cert.pem,server-cert.pem後,執行如下命令:
rm -v client.csr server.csr extfile.cnf extfile-client.cnf此命令可以安全地刪除兩個證書籤名請求和擴充套件配置檔案。
一直填Y就可以。
修改許可權
防止金鑰檔案被誤刪或者損壞,我們改變一下檔案許可權,讓它只讀就可以。
chmod -v 0400 ca-key.pem key.pem server-key.pem防止證書損壞,我們也刪除它的寫入許可權。
chmod -v 0444 ca.pem server-cert.pem cert.pem歸集伺服器證書
cp server-*.pem /etc/docker/
cp ca.pem /etc/docker/修改Docker配置
我們需要設定Docker的守護程式,讓它僅接收來自提供了CA信任證書的客戶端連線。
vim /lib/systemd/system/docker.service
# 當然,也可以vi
vi /lib/systemd/system/docker.service將 ExecStart 屬性值進行修改:
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/usr/local/ca/ca.pem --tlscert=/usr/local/ca/server-cert.pem --tlskey=/usr/local/ca/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock重新載入daemon、重啟docker
systemctl daemon-reload
systemctl restart docker使用IDEA連線Docker
我是騰訊雲伺服器,所有我需要開啟一下埠,先前沒開。
無證書連線
沒證書是連線不上的。
使用證書連線
獲取證書
我們首先獲取我伺服器上的證書。
這四個都要。
放到一個資料夾。
IDEA連線
證書資料夾選擇你存放證書的資料夾。
URL是:https://+遠端連線IP+設定的埠。
注意:一定是HTTPS!這樣就連線成功了。
一鍵建立證書指令碼
#!/bin/sh
ip=你的IP
password=你的密碼
dir=/root/docker/cert # 證書生成位置
validity_period=10 # 證書有效期10年
# 將此shell指令碼在安裝docker的機器上執行,作用是生成docker遠端連線加密證書
if [ ! -d "$dir" ]; then
echo ""
echo "$dir , not dir , will create"
echo ""
mkdir -p $dir
else
echo ""
echo "$dir , dir exist , will delete and create"
echo ""
rm -rf $dir
mkdir -p $dir
fi
cd $dir || exit
# 建立根證書RSA私鑰
openssl genrsa -aes256 -passout pass:"$password" -out ca-key.pem 4096
# 建立CA證書
openssl req -new -x509 -days $validity_period -key ca-key.pem -passin pass:"$password" -sha256 -out ca.pem -subj "/C=NL/ST=./L=./O=./CN=$ip"
# 建立服務端私鑰
openssl genrsa -out server-key.pem 4096
# 建立服務端簽名請求證書檔案
openssl req -subj "/CN=$ip" -sha256 -new -key server-key.pem -out server.csr
echo subjectAltName = IP:$ip,IP:0.0.0.0 >>extfile.cnf
echo extendedKeyUsage = serverAuth >>extfile.cnf
# 建立簽名生效的服務端證書檔案
openssl x509 -req -days $validity_period -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out server-cert.pem -extfile extfile.cnf
# 建立客戶端私鑰
openssl genrsa -out key.pem 4096
# 建立客戶端簽名請求證書檔案
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth >>extfile.cnf
echo extendedKeyUsage = clientAuth >extfile-client.cnf
# 建立簽名生效的客戶端證書檔案
openssl x509 -req -days $validity_period -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out cert.pem -extfile extfile-client.cnf
# 刪除多餘檔案
rm -f -v client.csr server.csr extfile.cnf extfile-client.cnf
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem這一段請自行修改:
ip=你的IP
password=你的密碼
dir=/root/docker/cert # 證書生成位置
validity_period=10 # 證書有效期10年給予許可權
執行前請給指令碼檔案777許可權。
chmod 777 xxx.sh編輯docker.service配置檔案
老樣子:
vim /usr/lib/systemd/system/docker.service找到ExecStart = 開頭的一行程式碼,將其替換為如下內容:
ExecStart=/usr/bin/dockerd \
--tlsverify \
--tlscacert=/root/docker/cert/ca.pem \
--tlscert=/root/docker/cert/server-cert.pem \
--tlskey=/root/docker/cert/server-key.pem \
-H fd:// -H tcp://0.0.0.0:2376 注意:/root/docker/cert/是證書檔案路徑!靈活使用。重新整理Docker
systemctl daemon-reload && systemctl restart docker測試連線方法
伺服器本機測試(先CD進入證書資料夾):
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://你的ip:2376 -v個人終端測試:
curl https://你的ip:2376/info --cert /root/docker/cert/cert.pem --key /root/docker/cert/key.pem --cacert /root/docker/cert/ca.pem2376是你開放的埠,靈活修改!尾述(總結)
一鍵指令碼很方便,小簡推薦使用這個,不折騰,我是折騰玩兒才不用指令碼的。
生產環境安全不容疏忽,大家公網環境可千萬別粗心大意哦!Docker很多教程都只告訴你開啟連線,萬一有人伺服器上開啟連線,那就不是很好了,所以我才寫一篇安全認證配置和Linux Dcoker遠端連線配置一起的教程。
下期再見,小簡提前祝大家新春快樂哦!