为了能够远程管理docker,就需要开启docker的远程访问的api,但是直接对外开启没有安全保护的2375是存在安全隐患的,Docker暴露2375端口,引起安全漏洞,那么我们就需要开启TLS认证的2376(通常)端口.
下面我们针对CoreOS 7 系统进行配置:
一、利用系统自带的openssl生成相应的服务端和客户端证书
我们利用脚本自动生成,这样非常便捷,脚本(auto-tls-certs.sh)如下:
#!/bin/bash # # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- # 以下是配置信息 # --[BEGIN]------------------------------ CODE="dp" IP="192.168.1.50" PASSWORD="密码" COUNTRY="CN" STATE="BEIJING" CITY="BEIJING" ORGANIZATION="公司" ORGANIZATIONAL_UNIT="Dev" COMMON_NAME="$IP" EMAIL="邮箱" # --[END]-- # Generate CA key openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "ca-key-$CODE.pem" 4096 # Generate CA openssl req -new -x509 -days 365 -key "ca-key-$CODE.pem" -sha256 -out "ca-$CODE.pem" -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL" # Generate Server key openssl genrsa -out "server-key-$CODE.pem" 4096 # Generate Server Certs. openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key-$CODE.pem" -out server.csr echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf echo "extendedKeyUsage = serverAuth" >> extfile.cnf openssl x509 -req -days 365 -sha256 -in server.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "server-cert-$CODE.pem" -extfile extfile.cnf # Generate Client Certs. rm -f extfile.cnf openssl genrsa -out "key-$CODE.pem" 4096 openssl req -subj '/CN=client' -new -key "key-$CODE.pem" -out client.csr echo extendedKeyUsage = clientAuth >> extfile.cnf openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "cert-$CODE.pem" -extfile extfile.cnf rm -vf client.csr server.csr chmod -v 0400 "ca-key-$CODE.pem" "key-$CODE.pem" "server-key-$CODE.pem" chmod -v 0444 "ca-$CODE.pem" "server-cert-$CODE.pem" "cert-$CODE.pem" # 打包客户端证书 mkdir -p "tls-client-certs-$CODE" cp -f "ca-$CODE.pem" "cert-$CODE.pem" "key-$CODE.pem" "tls-client-certs-$CODE/" cd "tls-client-certs-$CODE" tar zcf "tls-client-certs-$CODE.tar.gz" * mv "tls-client-certs-$CODE.tar.gz" ../ cd .. rm -rf "tls-client-certs-$CODE" # 拷贝服务端证书 mkdir -p /etc/docker/certs.d cp "ca-$CODE.pem" "server-cert-$CODE.pem" "server-key-$CODE.pem" /etc/docker/certs.d/
对脚本中的变量进行修改后运行,自动会创建好tls证书,服务器的证书在/etc/docker/certs.d/目录下:
客户端的证书在运行脚本的目录下,同时还自动打好了一个.tar.gz的包,很方便。
二、配置Docker服务
配置下docker.service
我的机器上在/lib/systemd/system/docker.service,每个机器可能不一样,自己找找吧。
更改ExecStart所在行为:
更改前的样子:
更改后:
代码样例:
ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -D -H tcp://0.0.0.0:2376 \ --tlsverify --tlscacert=/etc/docker/certs.d/ca-dp.pem \ --tlscert=/etc/docker/certs.d/server-cert-dp.pem \ --tlskey=/etc/docker/certs.d/server-key-dp.pem
上面文件编辑保存后执行,以下命令重载配置重启服务:
systemctl daemon-reload systemctl restart docker
如果更改有误,docker 是无法启动的
测试:
然后将客户端的几个pem(tls-client-certs-dp.tar.gz 里面的就是客户端的pem)文件发送到客户端。随便你怎么发送。
然后解压,进入到客户端的pem的文件夹,并执行如下命令
curl https://192.168.1.50:2376/info --cert ./cert-dp.pem --key ./key-dp.pem --cacert ./ca-dp.pem
如果你能成功看到一个json字符串,就表示成功了。
如果你看到的是curl: (35) gnutls_handshake() failed: Certificate is bad
那就是哪里没有配置配置正确,慢慢找问题吧!
配置Portainer远程TLS连接
证书对应选择:
ca.pem
cert.pem
key.pem
这样就完成了。注意如果之前开启了未认证的2375端口,请关闭并禁用,重启docker服务。
IDEA 连接Docker的坑:
在用IDEA的 Docker integration 连接开启 TLS 的docker 时,使用tcp协议是不对的,导致无法连接成功!
参考文章: https://www.jianshu.com/p/a1bdc96b4163
https://my.oschina.net/ykbj/blog/1920021
还没有评论,来说两句吧...