为Docker Swarm配置TLS

Docker Swarm -> Configure Docker Swarm for TLS

为Docker Swarm配置TLS

这个过程中,你创建了两个节点的Swarm集群,一个Docker Engine CLI,一个Swarm Manager和一个CA。如下所示。所有的Docker Engine主机(client,swarm,node1和node2)都有一份CA的证书拷贝和它们各自的通过CA签署的密钥对。


为Docker Swarm配置TLS_第1张图片

你将完成如下的步骤在这个过程中:

  • Step 1: 设置的前提条件
  • Step 2: 创建一个CA服务器
  • Step 3: 创建并签署密钥
  • Step 4: 安装这个密钥
  • Step 5: 配置Engine daemon的TLS
  • Step 6: 创建Swarm集群
  • Step 7: 创建使用TLS的Swarm manager集群
  • Step 8: 测试Swarm manager的配置
  • Step 9: 配置Engine CLI使用TLS

在开始之前

文章包括使用OpenSSl创建你自己的CA的步骤。这类似于经营自己组织内部的CA和PKI。然而,这不是一个可用于生产环境的CA和PKI指南。这些步骤的仅仅是为了演示满足后续配置Docker Swarm用于TLS。

Step 1: 设置的前提条件

为了完成这个过程你必须搭建5个Linux服务器。可以是物理机和虚拟机的混合;它们也可以是云主机。下面的表格列出了每个服务器的名字和它们的目的。

服务器名 描述
ca 作为一个CA服务器
swarm 作为Swarm Manager
node1 作为Swarm node
node2 作为Swarm node
client 作为一个远端的Docker Engine client

确保你可以使用SSH访问这5个服务器,并且它们之间可以相互通信通过使用DNS名解析。尤其需要:

  • 在Swarm Manager和Swarm node之间打开TCP的2376端口
  • 在Docker Engine client和Swarm Manager之间打开TCP的3376端口

你可以选择不同的端口如果它们已经被占用了。这个例子假设你通过这些端口使用它们。

每个服务器的操作系统必须兼容Docker Engine。为了简单起见,这一步和下面假设所有的服务器运行在Ubuntu 14.04 LTS上。

Step 2: 创建一个CA服务器

注意:如果你已经有可访问的CA和证书,你可以跳过这一步。

在这一步,你配置一个Linux服务器作为一个CA。你使用这个CA去创建签署密钥。

  1. 登录这个CA服务器的终端然后提升到root。
$sudo su
  1. 为CA创建一个私钥命名为ca-priv-key.pem:
# openssl genrsa -out ca-priv-key.pem 2048
Generating RSA private key, 2048 bit long modulus
...........................................................+++
.....+++
e is 65537 (0x10001)
  1. 为CA创建一个公钥命名为ca.pem

    这个公钥基于上一步被创建的私钥。

# openssl req -config /usr/lib/ssl/openssl.cnf -new -key ca-priv-key.pem -x509 -days 1825 -out ca.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US

现在你已经配置了一个公钥和私钥对为CA服务。你可以查看每个密钥的内容。查看私钥:

# openssl rsa -in ca-priv-key.pem -noout -text

查看公钥:

# openssl x509 -in ca.pem -noout -text

下面的命令显示了CA的公钥的部分内容。

# openssl x509 -in ca.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 17432010264024107661 (0xf1eaf0f9f41eca8d)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=CA, L=Sanfrancisco, O=Docker Inc
        Validity
            Not Before: Jan 16 18:28:12 2016 GMT
            Not After : Jan 13 18:28:12 2026 GMT
        Subject: C=US, ST=CA, L=San Francisco, O=Docker Inc
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d1:fe:6e:55:d4:93:fc:c9:8a:04:07:2d:ba:f0:
                    55:97:c5:2c:f5:d7:1d:6a:9b:f0:f0:55:6c:5d:90:

稍后,你将使用这个证书去签署基础设置中其它服务的密钥。

Step 3: 创建并签署密钥

现在你又一个可用的CA,你需要创建一个密钥对为Swarm Manager,Swarm nodes,和远端的Docker Engine client。所有服务器创建密钥对的命令和处理过程相同。你将创建下面的密钥:

密钥名 描述
ca-priv-key.pem 这是CA的私钥必须要保证安全。它被用于在之后签署环境中的其它新节点的密钥。
ca.pem 这是CA的公钥(也可以叫它证书)。它被安装在环境中的所有节点,用于使节点信任由CA签发的证书。通ca-priv-key.pem文件一起组成了CA的密钥对。
node.csr 这是一个证书签名请求(CSR).一个CSR是一个有效的CA申请,用于为指定的节点创建一个新的密钥对。
node-priv.key 一个CA签名的私钥。节点依赖这个密钥证明自己为远端Docker Engine。与node-cert.pem文件一起组成了节点的密钥对。
node-cert.pem CA签名的证书。在这个例子中没有用。与node-priv.pem文件一起组成了节点的密钥对。

下面的命令显示了怎样创建密钥为所有的节点。在你的CA服务器的工作目录中执行这些命令。

  1. 登录你的CA服务器终端,提升root权限。
$ sudo su
  1. 为你的Swarm manager创建一个私钥,命名swarm-priv-key.pem
# openssl genrsa -out swarm-priv-key.pem 2048
Generating RSA private key, 2048 bit long modulus
............................................................+++
........+++
e is 65537 (0x10001)
  1. 使用上一步你创建的私钥生成一个证书签名请求(CSR)swarm.csr
# openssl req -subj "/CN=swarm" -new -key swarm-priv-key.pem -out swarm.csr

注意,这里仅仅是为了演示,创建一个CSR的过程在生产环境中于这里有所区别。

  1. 基于上一步创建的CSR,创建证书swarm-cert.pem.
# openssl x509 -req -days 1825 -in swarm.csr -CA ca.pem -CAkey ca-priv-key.pem -CAcreateserial -out swarm-cert.pem -extensions v3_req -extfile /usr/lib/ssl/openssl.cnf

# openssl rsa -in swarm-priv-key.pem -out swarm-priv-key.pem

你现在已经有了Swarm Manager的密钥对。

  1. 为基础设施中剩余的节点(node1,node2和client)重复上面的步骤。
    记得替换swarm位置的值为你创建密钥的相应节点。
服务器名 私钥 CSR 证书
node1 node1-priv-key.pem node1.csr node1-cert.pem
node2 node2-priv-key.pem node2.csr node2-cert.pem
client client-priv-key.pem client.csr client-cert.pem
  1. 确认你的工作目录中包含下面的文件:
# ls -l
total 64
-rw-r--r-- 1 root   root   1679 Jan 16 18:27 ca-priv-key.pem
-rw-r--r-- 1 root   root   1229 Jan 16 18:28 ca.pem
-rw-r--r-- 1 root   root     17 Jan 18 09:56 ca.srl
-rw-r--r-- 1 root   root   1086 Jan 18 09:56 client-cert.pem
-rw-r--r-- 1 root   root    887 Jan 18 09:55 client.csr
-rw-r--r-- 1 root   root   1679 Jan 18 09:56 client-priv-key.pem
-rw-r--r-- 1 root   root   1082 Jan 18 09:44 node1-cert.pem
-rw-r--r-- 1 root   root    887 Jan 18 09:43 node1.csr
-rw-r--r-- 1 root   root   1675 Jan 18 09:44 node1-priv-key.pem
-rw-r--r-- 1 root   root   1082 Jan 18 09:49 node2-cert.pem
-rw-r--r-- 1 root   root    887 Jan 18 09:49 node2.csr
-rw-r--r-- 1 root   root   1675 Jan 18 09:49 node2-priv-key.pem
-rw-r--r-- 1 root   root   1082 Jan 18 09:42 swarm-cert.pem
-rw-r--r-- 1 root   root    887 Jan 18 09:41 swarm.csr
-rw-r--r-- 1 root   root   1679 Jan 18 09:42 swarm-priv-key.pem

你可以查看每个密钥的内容。对于私钥:

# openssl rsa -in  -noout -text

对于公钥(证书):

# openssl x509 -in  -noout -text

下面的命令显示Swarm Manager的公钥swarm-cert.pem的部分内容.

# openssl x509 -in ca.pem -noout -text
Certificate:
Data:
    Version: 3 (0x2)
    Serial Number: 9590646456311914051 (0x8518d2237ad49e43)
Signature Algorithm: sha256WithRSAEncryption
    Issuer: C=US, ST=CA, L=Sanfrancisco, O=Docker Inc
    Validity
        Not Before: Jan 18 09:42:16 2016 GMT
        Not After : Jan 15 09:42:16 2026 GMT
    Subject: CN=swarm


Step 4: 安装密钥

在这一步,你要安装密钥到相应基础设施的服务器中。每个服务器需要三个文件:

  • 一个CA的公钥文件拷贝(ca.pem)
  • 自己的私钥
  • 自己的公钥(证书)

下面的步骤显示了如何通过使用scp拷贝这三个文件从CA服务器到每个服务器。作为拷贝的一个步骤,你将重命名每个文件根据下面的每个节点:

原始名 拷贝名
ca.pem ca.pem
-cert.pem cert.pem
-priv-key.pem key.pem
  1. 登录你的CA服务器终端并且提升root。
$ sudo su
  1. 在Swarm manager上创建~/.certs目录。这里我们假设用户的帐号是ubuntu。
$ ssh ubuntu@swarm 'mkdir -p /home/ubuntu/.certs'

你可能感兴趣的:(为Docker Swarm配置TLS)