TLS 加密远程连接 Docker
欢迎访问我的 GitHub
这里分类和汇总了欣宸的全部原创(含配套源码):https://github.com/zq2599/blog_demos
本篇概览
《Docker远程连接设置》一文讲述了开启 Docker 远程连接的方法,但那种方法不安全,因为任何客户端都可以通过 Docker 服务的 IP 地址连接上去,今天我们就来学习 Docker 官方推荐的安全的远程连接方式:TLS 加密连接,通过证书来保证安全性。
官方文档
环境信息
本次实战的环境信息如下:
Docker 服务所在机器(下面以 A 机器表示):CentOS Linux release 7.6.1810
Docker 服务版本:1.13.1
另一台验证远程连接的机器(下面以 B 机器表示)也是 CentOS 7.6,其上安装了 Docker client 1.13.1
操作步骤
本次实战的操作步骤如下:
制作证书,包括 CA、服务端、客户端的;
设置机器 A 上的 Docker 服务的 TLS 连接;
从机器 B 远程连接机器 A 上的 Docker 服务;
制作证书(A 机器)
在 Linux 服务器上建一个目录,进入此目录,我这里是 /root/work
创建根证书 RSA 私钥:
页面提示 Enter pass phrase for ca-key.pem ,此时输入秘钥的密码,我这里输入了 1234 ,回车后会要求再输入一次,两次密码一致就会在当前目录生成 CA 秘钥文件 ca-key.pem ;
以此秘钥创建 CA 证书,自己给自己签发证书,自己就是 CA 机构,也可以交给第三方机构去签发:
此时生成的 ca.pem 文件就是 CA 证书;
创建服务端私钥:
此时生成的 server-key.pem 文件就是服务端私钥;
生成服务端证书签名请求(csr 即 certificate signing request,里面包含公钥与服务端信息)
此时生成的 server.csr 文件就是服务端证书;
生成签名过的服务端证书(期间会要求输入密码 1234):
此时生成的 server-cert.pem 文件就是已盖章生效的服务端证书;
生成客户私钥:
此时生成的 key.pem 文件就是客户私钥;
生成客户端证书签名请求:
此时生成的 client.csr 文件就是客户端证书签名请求;
生成名为 extfile.cnf 的配置文件:
生成签名过的客户端证书(期间会要求输入密码 1234):
将多余的文件删除:
此时还剩以下文件:
至此,所有证书文件制作完成,接下来对 Docker 做 TLS 安全配置;
Docker 的 TLS 连接设置(A 机器)
打开文件 /lib/systemd/system/docker.service ,找到下图红框中的内容:
将上图红框中的一整行内容替换为以下内容:
加载上述配置,再重启 docker 服务:
配置完成,接下来验证远程 TLS 连接。
验证远程 TLS 连接(B 机器)
假设前面我们操作的电脑为 A,IP 地址是 192.168.121.138 ;
现在再准备一台电脑 B,IP 地址是 192.168.121.132 ,用来验证 TLS 加密远程连接 A 上的 Docker;
在 A 机器执行以下命令,将 A 上的 ca.pem、cert.pem、key.pem 这三个文件复制到 B 机器的 /root/work 目录(请提前建好此目录):
在制作证书时没有允许通过 IP 访问服务端,所以 B 在连接 A 的 Docker 时不能直接用 A 的 IP,所以要用 host 来访问 A,给 B 电脑增加一个 host 配置(如果 B 电脑是 Linux,就在/etc/hosts 文件上配置):
在 B 上执行以下命令,即可连接 A 的 Docker 服务:
控制台显示以下信息,其中 Server 部分就是 A 机器的 Docker 信息:
不用证书连接试试,各种尝试都失败了:
至此,TLS 加密远程连接 Docker 的实战就完成了,希望您在设置安全的 Docker 远程连接是,本文能给您提供参考。
欢迎关注 InfoQ:程序员欣宸
版权声明: 本文为 InfoQ 作者【程序员欣宸】的原创文章。
原文链接:【http://xie.infoq.cn/article/e6810e71836b0aa80864c543d】。文章转载请联系作者。
搜索"程序员欣宸",一起畅游Java宇宙 2018-04-19 加入
前腾讯、前阿里员工,从事Java后台工作,对Docker和Kubernetes充满热爱,所有文章均为作者原创,个人Github:https://github.com/zq2599/blog_demos
评论