Docker下，实现多台机器之间相互SSH免密码登录

在Docker下搭建hadoop集群环境的时候，需要将集群的机器设置为相互SSH免密码登录，这里将整个设置过程总结下来。

###机器情况###
一共启动三个容器，都是centos6.7的系统，每个容器的名字和ip如下图所示：

###镜像文件###
我们要实现SSH免密码登录，所以运行的容器是要有SSH服务的，为了快速实现我们就不自己装SSH服务了，hub.docker.com上的kinogmt/centos-ssh:6.7这个镜像就能满足我们的要求，网上也有详细的Dockerfile脚本，有兴趣的读者可以通过Dockerfile了解这个镜像的详情。

###docker-compose.yml文件###
由于是三个容器的相互操作，所以可以制作一个docker-compose.yml文件对这三个容器做批量操作，文件内容如下：

version: '2'
services:
  a0: 
    image: kinogmt/centos-ssh:6.7
    container_name: a0
    ports:
      - "19010:22"
    restart: always
  a1: 
    image: kinogmt/centos-ssh:6.7
    container_name: a1
    depends_on:
      - a0
    ports:
      - "19011:22"
    restart: always
  a2: 
    image: kinogmt/centos-ssh:6.7
    container_name: a2
    depends_on:
      - a1
    ports:
      - "19012:22"
    restart: always

上面的docker-compose.yml文件中，定义了a0,a1,a2三个容器，用相同的镜像，它们的22端口依次映射到当前电脑的19010、19011、19012三个端口上，通过depends_on保证顺序启动(顺序启动在此处没特殊意义，只是这样得到的ip是顺序的)。

###启动，拿到IP###
在docker-compose.yml文件所在目录下执行docker-compose up -d创建并启动三个容器，如下图：

执行命令docker exec -it a0 ip addr可以拿到a0容器的ip是172.19.0.2，如下图：

再执行docker exec -it a1 ip addr和docker exec -it a2 ip addr命令，得到所有容器的地址如下表：

容器名称	IP地址	映射端口
a0	172.19.0.2	19010
a1	172.19.0.3	19011
a2	172.19.0.4	19012

###登录a0容器，修改ssh配置，创建ssh key###
由于a0的22端口已经映射到当前电脑的19010端口，因此在当前电脑的命令行执行ssh root@localhost -p 19010即可登录a0，密码是password，如下图：

登录a0后，用vi打开文件/etc/ssh/sshd_config，找到下图红框中的两个配置：RSAAuthentication和PubkeyAuthentication：

将每个配置最左边的"#"去掉，最终配置如下图所示：

接下来在命令行输入ssh-keygen -t rsa，连续回车，最终会在/root/.ssh目录下生成id_rsa和 id_rsa.pub文件，如下图：

###分别登录a1、a2容器，修改ssh配置，创建ssh key###

将上面做的登录容器、修改ssh配置、创建ssh key三件事，在a1和a2容器上也各做一次；

###在a0上合并a0、a1、a2的公钥###
登录a0容器后，在/root/.ssh目录下执行以下命令，将a0的公钥追加到authorized_keys文件中(如果authorized_keys不存在会新建)：

cat id_rsa.pub>> authorized_keys 

然后执行以下命令，将a1的公钥追加到a0的authorized_keys文件中：

ssh [email protected] cat ~/.ssh/id_rsa.pub>> authorized_keys

执行上述命令的时候会要求输入密码，输入"password"后，就会把a1的公钥追加到a0的authorized_keys文件中；

再执行以下命令，将a2的公钥也追加到a0的authorized_keys文件中：

ssh [email protected] cat ~/.ssh/id_rsa.pub>> authorized_keys

执行完毕后，用cat authorized_keys看一下authorized_keys文件，里面已经有了三个公钥，如下图：

###把a0上合并好的公钥文件复制到a1###
在当前电脑上新开一个控制台窗口，执行ssh root@localhost -p 19011登录a1，然后执行以下命令就能将a0的authorized_keys文件复制到a1:

ssh [email protected] cat ~/.ssh/authorized_keys>> ~/.ssh/authorized_keys

这次没有要求输入密码，因为a0上已经有了a1的公钥了，执行完毕后可以检查/root/.ssh目录，里面的authorized_keys文件和a0上一模一样；

再新开一个窗口登录a2，将上面的操作重复一遍，使得a2上也有了一模一样的authorized_keys文件；

###验证免密码登录###
经过以上步骤，a0、a1、a2三个机器之间已经可以相互免密码登录了，我们新开一个控制台窗口，执行ssh root@localhost -p 19011登录a1，再执行ssh [email protected]远程登录a2，发现可以直接登录成功，不需要输入密码，如下图：

欢迎关注我的公众号：程序员欣宸