Docker远程TLS管理

首先介绍一个好用的Docker管理软件，Portainer，好用便捷，让你轻松无压力的管理Docker环境。

我们不会只有一个Docker服务，一般都是多个Docker服务，这个时候需要中心化管理多个Docker服务，这在Potainer中即添加新的入口点。默认情况下Docker是不开启远程访问的。需要进行一些配置，下面演示下如何配置Docker的远程访问，与安全的Docker访问。

演示

简单配置

1. 直接开启远程访问，无安全措施。

dockerd -H 0.0.0.0    #监听所有tcp连接，默认端口是6375

2. 在systemd下，则需要修改docker.service，修改Service部分的ExecStart。

ExecStart=/usr/bin/dockerd -H 0.0.0.0 

3. 然后任何人都可以直接访问Docker的端口，很不安全。

安全的Docker访问

创建CA，Server和客户端key通过openssl. 自建CA，我们需要对openssl进行一些配置。

1. 找到openssl.conf配置文件进行配置。
   在CentOS下,openssl.conf位于/etc/pki/tls/，在Mac下，通过brew安装的则位于/usr/local/etc/openssl/下。

2. 编辑openssl.conf的CA部分

   
   
   

   openssl.conf CA部分

确保你配置的目录下，有你准备好的目录。

mkdir -p {certs,private,tls,crl,newcerts}
echo 00 > serial   #注意serial要有数字，不然会报错
touch index.txt

3. 生成私钥，并自签证书
   参考配置文件的位置，配置文件中的private_key和certificate位置。

openssl genrsa -out private/cakey.pem -des 1024
openssl req -new -x509 -key private/cakey.pem -days 3650 -out cacert.pem
... 需要填写一些资料，国家，省份什么的。

4. 颁发证书
   4.1 生成要颁发证书的密钥文件，这个可以在任何主机上操作，我们已经自签了CA。

openssl genrsa -out private/test.key 1024

4.2 生成证书请求

openssl req -new -key private/test.key -days 365 -out test.csr

4.3 颁发证书

openssl ca  -in test.csr -out certs/test.crt -days 365
... 填写国家省份什么的，注意配置文件里面有规定至少和CA证书的国家，省份等必须要要有几项一致的。

5. 将CA证书，颁发的证书，私钥保存起来使用。比如在刚才的Docker配置中，加密的Docker访问方式。

/usr/bin/dockerd --tls --tlscacert=/home/data/cert/cacert.pem \ 
--tlscert=/home/data/cert/certs/test.crt  \
--tlskey=/home/data/cert/private/test.key \
-H 0.0.0.0:2376

6. 测试Docker访问。
   注意：这里的00.pem就是刚才生成的test.crt

curl -k https://localhost:2376/images/json  \ 
--cert /home/data/cert/cacert.pem \
--key /home/data/cert/private/test.key \
--cert /home/data/cert/newcerts/00.pem  | jq

Curl访问Docker

7. 配置docker访问

mkdir -pv ~/.docker
#cp -v {ca,cert,key}.pem ~/.docker
cp /home/data/cert/cacert.pem  ~/.docer/ca.pem
cp /home/data/cert/private/test.key  ~/.docer/key.pem
cp /home/data/cert/newcerts/00.pem  ~/.docer/cert.pem
export DOCKER_HOST=tcp://$HOST:2376 DOCKER_TLS_VERIFY=1

8. 在portcaniner中配置新的endpoint
   刚才的CA证书，服务器证书，服务器密钥都有了，可以直接使用

   
   
   

   portaniner配置

9. 看结果

   
   
   

   image.png

总结

服务器的安全是一个很重要的技能，关于安全方面的还可以继续加强。这篇文章主要介绍了如何配置Docker来使用portainer远程管理Docker，然后介绍了安全的方式配置Docker与管理Docker。

附录

• Protect the Docker daemon socket
• Portainer

当时的命令记录