Docker - 通过IDEA和CA证书加密远程链接到服务器上的Docker
文章目录
- Docker - 通过IDEA和CA证书加密远程链接到服务器上的Docker
- 1、直接设置任意远程访问存在的问题
- 2、创建一个ca 的文件夹
- 3、创建一个key
- 4、填写一些基本的信息,国家啊,地区什么的
- 5、生成server-key.pem
- 6、绑定IP或者域名
- 7、配置白名单
- 8、生成ca-key
- 9、生成cert.pem
- 10、修改权限
- 11、把证书复制过去
- 12、修改docker 的配置
- 13、重启docker
- 14、下载连接所需的证书文件
- 15、通过IDEA 的docker 插件进行连接
- 16、连接到远程docker
Docker - 通过IDEA和CA证书加密远程链接到服务器上的Docker
1、直接设置任意远程访问存在的问题
因为docker 默认是root 权限,允许所有人访问,直接把2375端口暴露在外网相当于直接把服务器的root 权限拱手送人,因此我们需要构建一个加密的TCP链接,以Https的方式连接到远程的docker 服务器
2、创建一个ca 的文件夹
mkdir -p /usr/local/ca
cd /usr/local/ca
3、创建一个key
openssl genrsa -aes256 -out ca-key.pem 4096
提示你需要输入密码和确认密码,请记住这个密码
4、填写一些基本的信息,国家啊,地区什么的
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
你可以乱填,或者参考如下的填法
文字版
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Hangzhou, Zhejiang Province, People's Republic of China
Locality Name (eg, city) [Default City]:XIACHENG
Organization Name (eg, company) [Default Company Ltd]:WRETCHANT.COM
Organizational Unit Name (eg, section) []:ONLINE ZUOZUO
Common Name (eg, your name or your server's hostname) []:wretchant
5、生成server-key.pem
openssl genrsa -out server-key.pem 4096
6、绑定IP或者域名
$HOST 这个值,填写你的服务器外网IP 或者服务器外网域名
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
7、配置白名单
$HOST 就是你第六步设置的那个 $HOST
echo subjectAltName = DNS:$HOST,IP:0.0.0.0 >> extfile.cnf
这里如果你设置的IP ,则需要吧DNS 改为IP,如图
你如果希望只有指定的IP能够访问的话,请把0.0.0.0 改为指定IP,不过一般情况下,个人的网络是没有固定的公网IP的,所以建议设置成0.0.0.0,但是需要证书才能访问
8、生成ca-key
echo extendedKeyUsage = serverAuth >> extfile.cnf
// 执行这一句需要输入之前设置的密码
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf
openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
9、生成cert.pem
需要输入之前设置的密码
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf
10、修改权限
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
11、把证书复制过去
cp server-*.pem /etc/docker/
cp ca.pem /etc/docker/
12、修改docker 的配置
vi /lib/systemd/system/docker.service
把ExecStart 的值设置为如下
/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
13、重启docker
systemctl daemon-reload
systemctl restart docker
service docker restart
14、下载连接所需的证书文件
把这几个文件下载到你的电脑上,新建一个文件夹供着
15、通过IDEA 的docker 插件进行连接
1、默认是tcp 的,你要改成https,端口你之前设置的什么端口就是什么端口,第十二步
2、然后选择你放证书的那个文件夹
16、连接到远程docker
成功连接,连接不上的,查找如下原因
1、tcp连接没换
2、端口不对
3、服务器防火墙没放端口
4、云服务器防火墙没放端口
5、证书没弄好
一定要仔细,一步错,就连不上
