Portainer访问远程Docker (TLS加密)

前言:

docker的2375端口,出于安全性考虑即(Docker Remote API未授权访问漏洞),是不开放的,如果想要管理远程docker,可以使用TLS机制来进行访问,这里以Portainer访问连接为例
文章参考:https://blog.csdn.net/qq_42259469/article/details/128406535

远程docker环境:

操作系统:centos7.6
docker版本:24.0.6

建立脚本文件:

cd /root
mkdir docker-ca && cd docker-ca && touch ca.sh
vim ca.sh

创建脚本:

#!/bin/bash

set -e

#配置相关配置信息
SERVER="192.168.0.102"
#密码
PASSWORD="tp,123456"
#国家
COUNTRY="cn"
#省
STATE="zhejiang"
#市
CITY="hangzhou"
#组织名称
ORGANIZATION="alibaba"
#单位名称
ORGANIZATIONAL_UNIT="alibaba"
#邮箱
EMAIL="[email protected]"

#创建然后切换到密钥的目录
mkdir ca
cd ca

#生成ca私钥(使用aes256加密)
openssl genrsa -aes256 -passout pass:$PASSWORD  -out ca-key.pem 2048

#生成ca证书,填写配置信息
openssl req -new -x509 -passin "pass:$PASSWORD" -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL"

#生成server证书私钥文件
openssl genrsa -out server-key.pem 2048

#生成server证书请求文件
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server.csr

#配置白名单
sh -c  'echo "subjectAltName = IP:'$SERVER',IP:0.0.0.0" >> extfile.cnf'

sh -c  'echo "extendedKeyUsage = serverAuth" >> extfile.cnf'

#使用CA证书及CA密钥以及上面的server证书请求文件进行签发,生成server自签证书
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial  -out server-cert.pem  -extfile extfile.cnf

#生成client证书RSA私钥文件
openssl genrsa -out key.pem 2048

#生成client证书请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
sh -c 'echo extendedKeyUsage=clientAuth >> extfile.cnf'

#生成client自签证书(根据上面的client私钥文件、client证书请求文件生成)
openssl x509 -req -days 3650 -in client.csr -CA ca.pem -CAkey ca-key.pem  -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem  -extfile extfile.cnf

#删除无用文件
rm client.csr server.csr

执行ca.sh脚本:

sh ca.sh

Portainer访问远程Docker (TLS加密)_第1张图片
在/root/docker-ca/ca下可以看到生成的文件
Portainer访问远程Docker (TLS加密)_第2张图片

修改docker配置并重启服务

vi /usr/lib/systemd/system/docker.service 

更改ExecStart行的值,使docker守护程序仅接收来自提供CA信任的证书的客户端的链接

ExecStart=/usr/bin/dockerd \
--tlsverify --tlscacert=/root/docker-ca/ca/ca.pem \
--tlscert=/root/docker-ca/ca/server-cert.pem \
--tlskey=/root/docker-ca/ca/server-key.pem \
-H tcp://0.0.0.0:2375 -H fd:// --containerd=/run/containerd/containerd.sock

Portainer访问远程Docker (TLS加密)_第3张图片
重载配置并重启

systemctl daemon-reload && systemctl restart docker

配置portainer连接远程docker

  • 先从服务器上把3个客户端pem文件下载下来

Portainer访问远程Docker (TLS加密)_第4张图片

  • portainer连接远程服务器

Portainer访问远程Docker (TLS加密)_第5张图片
Portainer访问远程Docker (TLS加密)_第6张图片Portainer访问远程Docker (TLS加密)_第7张图片

注:服务器上在防火墙上开放2375端口,不然远程不能访问

firewall-cmd --add-port=2375/tcp --permanent
systemctl restart firewalld

你可能感兴趣的:(docker相关,docker,容器,运维)