TLS加密远程连接Docker
2019-09-07 20:22
1411 查看
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boling_cavalry/article/details/100601169
《Docker远程连接设置》一文讲述了开启Docker远程连接的方法,但那种方法不安全,因为任何客户端都可以通过Docker服务的IP地址连接上去,今天我们就来学习Docker官方推荐的安全的远程连接方式:TLS加密连接,通过证书来保证安全性。
官方文档
这里是官方的权威文档:https://docs.docker.com/engine/security/https/
环境信息
本次实战的环境信息如下:
- Docker服务所在机器(下面以A机器表示):CentOS Linux release 7.6.1810
- Docker服务版本:1.13.1
- 另一台验证远程连接的机器(下面以B机器表示)也是CentOS 7.6,其上安装了Docker client 1.13.1
操作步骤
本次实战的操作步骤如下:
- 制作证书,包括CA、服务端、客户端的;
- 设置机器A上的Docker服务的TLS连接;
- 从机器B远程连接机器A上的Docker服务;
制作证书(A机器)
- 在Linux服务器上建一个目录,进入此目录,我这里是/root/work
- 创建根证书RSA私钥:
openssl genrsa -aes256 -out ca-key.pem 4096
- 页面提示Enter pass phrase for ca-key.pem,此时输入秘钥的密码,我这里输入了1234,回车后会要求再输入一次,两次密码一致就会在当前目录生成CA秘钥文件ca-key.pem;
- 以此秘钥创建CA证书,自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发:
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
此时生成的ca.pem文件就是CA证书;
5. 创建服务端私钥:
openssl genrsa -out server-key.pem 4096
此时生成的server-key.pem文件就是服务端私钥;
6. 生成服务端证书签名请求(csr即certificate signing request,里面包含公钥与服务端信息)
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
此时生成的server.csr文件就是服务端证书;
7. 生成签名过的服务端证书(期间会要求输入密码1234):
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
此时生成的server-cert.pem文件就是已盖章生效的服务端证书;
8. 生成客户私钥:
openssl genrsa -out key.pem 4096
此时生成的key.pem文件就是客户私钥;
9. 生成客户端证书签名请求:
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
此时生成的client.csr文件就是客户端证书签名请求;
10. 生成名为extfile.cnf的配置文件:
echo extendedKeyUsage=clientAuth > extfile.cnf
- 生成签名过的客户端证书(期间会要求输入密码1234):
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
- 将多余的文件删除:
rm -rf ca.srl client.csr extfile.cnf server.csr
- 此时还剩以下文件:
文件名 | 作用 |
---|---|
ca.pem | CA机构证书 |
ca-key.pem | 根证书RSA私钥 |
cert.pem | 客户端证书 |
key.pem | 客户私钥 |
server-cert.pem | 服务端证书 |
server-key.pem | 服务端私钥 |
至此,所有证书文件制作完成,接下来对Docker做TLS安全配置;
Docker的TLS连接设置(A机器)
- 打开文件/lib/systemd/system/docker.service,找到下图红框中的内容:
- 将上图红框中的一整行内容替换为以下内容:
ExecStart=/usr/bin/dockerd-current --tlsverify --tlscacert=/root/work/ca.pem --tlscert=/root/work/server-cert.pem --tlskey=/root/work/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock \
- 加载上述配置,再重启docker服务:
systemctl daemon-reload && systemctl restart docker
配置完成,接下来验证远程TLS连接。
验证远程TLS连接(B机器)
- 假设前面我们操作的电脑为A,IP地址是192.168.121.138;
- 现在再准备一台电脑B,IP地址是192.168.121.132,用来验证TLS加密远程连接A上的Docker;
- 在A机器执行以下命令,将A上的ca.pem、cert.pem、key.pem这三个文件复制到B机器的/root/work目录(请提前建好此目录):
scp /root/work/ca.pem root@192.168.121.132:/root/work \ && scp /root/work/cert.pem root@192.168.121.132:/root/work \ && scp /root/work/key.pem root@192.168.121.132:/root/work
- 在制作证书时没有允许通过IP访问服务端,所以B在连接A的Docker时不能直接用A的IP,所以要用host来访问A,给B电脑增加一个host配置(如果B电脑是Linux,就在/etc/hosts文件上配置):
192.168.121.138 docker-daemon
- 在B上执行以下命令,即可连接A的Docker服务:
docker --tlsverify --tlscacert=/root/work/ca.pem --tlscert=/root/work/cert.pem --tlskey=/root/work/key.pem -H tcp://docker-daemon:2376 version
控制台显示以下信息,其中Server部分就是A机器的Docker信息:
Client: Version: 1.13.1 API version: 1.26 Package version: docker-1.13.1-102.git7f2769b.el7.centos.x86_64 Go version: go1.10.3 Git commit: b2f74b2/1.13.1 Built: Wed May 1 14:55:20 2019 OS/Arch: linux/amd64 Server: Version: 1.13.1 API version: 1.26 (minimum version 1.12) Package version: docker-1.13.1-102.git7f2769b.el7.centos.x86_64 Go version: go1.10.3 Git commit: 7f2769b/1.13.1 Built: Mon Aug 5 15:09:42 2019 OS/Arch: linux/amd64 Experimental: false
- 不用证书连接试试,各种尝试都失败了:
[root@centos7 work]# docker -H tcp://192.168.121.138:2375 images Cannot connect to the Docker daemon at tcp://192.168.121.138:2375. Is the docker daemon running? [root@centos7 work]# docker -H tcp://docker-daemon:2375 images Cannot connect to the Docker daemon at tcp://docker-daemon:2375. Is the docker daemon running? [root@centos7 work]# docker -H tcp://192.168.121.138:2376 images Get http://192.168.121.138:2376/v1.26/images/json: net/http: HTTP/1.x transport connection broken: malformed HTTP response "\x15\x03\x01\x00\x02\x02". * Are you trying to connect to a TLS-enabled daemon without TLS? [root@centos7 work]# docker -H tcp://docker-daemon:2376 images Get http://docker-daemon:2376/v1.26/images/json: net/http: HTTP/1.x transport connection broken: malformed HTTP response "\x15\x03\x01\x00\x02\x02". * Are you trying to connect to a TLS-enabled daemon without TLS?
至此,TLS加密远程连接Docker的实战就完成了,希望您在设置安全的Docker远程连接是,本文能给您提供参考。
相关文章推荐
- docker daemon的HTTP socket TLS加密连接
- centos 实现ssh远程连接docker
- Docker运行MongoDB及Redis及ssh端口映射远程连接
- SSH远程连接与加密技术
- ssh远程连接docker中的container
- SECURECRT远程连接docker
- 9 远程连接ssh 加密.
- ssh远程连接docker中的container
- 远程连接时出现身份验证错误,要求的函数不受支持 可能是由于CredSSP加密Oracle修正
- 关于远程桌面出现:“由于数据加密错误,这个会话将结束。请重新连接到远程计算机。”
- Docker ssh远程连接使用
- 通过将目录服务器配置为拒绝不请求签名(完整性验证)的 SASL (协商式、Kerberos、NTLM 或摘要式) LDAP 绑定和在明 文(非 SSL/TLS 加密的)连接上执行的 LDAP 简单绑定
- docker配置远程连接
- 使用本地的docker客户端连接远程docker的守护进程
- Linux下使用Docker安装Mysql,并远程连接
- 【docker】开启remote api访问,并使用TLS加密
- Docker学习(六)开启远程连接
- pycharm远程连接服务器(docker)调试
- 远程桌面连接已断开 由于数据加密错误---和本地连接修复错误
- 远程连接docker中的mysql容器