前言:
docker的2375端口,出于安全性考虑即(Docker Remote API未授权访问漏洞),是不开放的,如果想要管理远程docker,可以使用TLS机制来进行访问,这里以Portainer访问连接为例
文章参考:https://blog.csdn.net/qq_42259469/article/details/128406535
远程docker环境:
操作系统:centos7.6
docker版本:24.0.6
建立脚本文件:
cd /root
mkdir docker-ca && cd docker-ca && touch ca.sh
vim ca.sh
创建脚本:
#!/bin/bashset -e#配置相关配置信息
SERVER="192.168.0.102"
#密码
PASSWORD="tp,123456"
#国家
COUNTRY="cn"
#省
STATE="zhejiang"
#市
CITY="hangzhou"
#组织名称
ORGANIZATION="alibaba"
#单位名称
ORGANIZATIONAL_UNIT="alibaba"
#邮箱
EMAIL="531881823@qq.com"#创建然后切换到密钥的目录
mkdir ca
cd ca#生成ca私钥(使用aes256加密)
openssl genrsa -aes256 -passout pass:$PASSWORD -out ca-key.pem 2048#生成ca证书,填写配置信息
openssl req -new -x509 -passin "pass:$PASSWORD" -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL"#生成server证书私钥文件
openssl genrsa -out server-key.pem 2048#生成server证书请求文件
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server.csr#配置白名单
sh -c 'echo "subjectAltName = IP:'$SERVER',IP:0.0.0.0" >> extfile.cnf'sh -c 'echo "extendedKeyUsage = serverAuth" >> extfile.cnf'#使用CA证书及CA密钥以及上面的server证书请求文件进行签发,生成server自签证书
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial -out server-cert.pem -extfile extfile.cnf#生成client证书RSA私钥文件
openssl genrsa -out key.pem 2048#生成client证书请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
sh -c 'echo extendedKeyUsage=clientAuth >> extfile.cnf'#生成client自签证书(根据上面的client私钥文件、client证书请求文件生成)
openssl x509 -req -days 3650 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem -extfile extfile.cnf#删除无用文件
rm client.csr server.csr
执行ca.sh脚本:
sh ca.sh
在/root/docker-ca/ca下可以看到生成的文件
修改docker配置并重启服务
vi /usr/lib/systemd/system/docker.service
更改ExecStart行的值,使docker守护程序仅接收来自提供CA信任的证书的客户端的链接
ExecStart=/usr/bin/dockerd \
--tlsverify --tlscacert=/root/docker-ca/ca/ca.pem \
--tlscert=/root/docker-ca/ca/server-cert.pem \
--tlskey=/root/docker-ca/ca/server-key.pem \
-H tcp://0.0.0.0:2375 -H fd:// --containerd=/run/containerd/containerd.sock
重载配置并重启
systemctl daemon-reload && systemctl restart docker
配置portainer连接远程docker
- 先从服务器上把3个客户端pem文件下载下来
- portainer连接远程服务器
注:服务器上在防火墙上开放2375端口,不然远程不能访问
firewall-cmd --add-port=2375/tcp --permanent
systemctl restart firewalld