前言

喜歡折騰慢慢看，不喜歡折騰直接跳到小簡下文的一鍵腳本那里，兩分鐘搞好。

我的博客：https://blog.ideaopen.cn

我的公眾號：小簡聊開發(fā)

開啟遠程訪問

編輯docker.service文件

vi /usr/lib/systemd/system/docker.service
# 或者使用vim
vim /usr/lib/systemd/system/docker.service

找到 Service節(jié)點，修改ExecStart屬性，增加 -H tcp://0.0.0.0:2375

這樣相當于對外開放的是 2375 端口，你也可以更改端口。

重新加載配置

systemctl daemon-reload 
systemctl restart docker 

嘗試訪問

刷新配置后，可以通過IP:端口號訪問，如：127.0.0.1:2375。

但是前提是你防火墻開放了這個端口，不然是訪問不了的。

我這里使用的是云服務器，就不開放端口了，沒有密碼暴露端口很危險。

端口放行

此段是對上文開放端口的補充。

虛擬機Linux可以使用如下命令開放端口。

firewall-cmd --zone=public --add-port=2375/tcp --permanent
firewall-cmd --reload

云服務器，如：阿里云、騰訊云，請前往服務器管理放行端口。

配置安全(密鑰)訪問

官方文檔已經提供了基于CA證書的加密方法：Docker Doc

再次說明，如果不設置安全密鑰訪問，那就不要用于生產環(huán)境！

在開發(fā)環(huán)境用用就行了，如果直接把Docker這樣對外暴露是非常危險的，就和你數據庫對外開放，還不設置密碼一樣。

創(chuàng)建CA私鑰和CA公鑰

創(chuàng)建一個ca文件夾用來存放私鑰跟公鑰

mkdir -p /usr/local/ca
cd /usr/local/ca

在Docker守護程序的主機上(也就是本機)，生成CA私鑰和公鑰

openssl genrsa -aes256 -out ca-key.pem 4096

執(zhí)行完如上指令后，會要求我們輸入密碼。

注：Linux密碼不會展示，盲打就可以。

成功，我們查看一下是否有文件生成。

PEM就是證書文件。

補全CA證書信息

執(zhí)行如下指令：

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

錄入信息：

然后依次輸入：訪問密碼、國家、省、市、組織名稱、單位名稱、隨便一個名字、郵箱等。為了省事，組織、單位之類的（其實亂輸入也可以，嘿嘿嘿）。

國家只能兩個字符，就直接CN吧。

Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:HuNan
Locality Name (eg, city) [Default City]:ChangSha          
Organization Name (eg, company) [Default Company Ltd]:JanYork
Organizational Unit Name (eg, section) []:JanYork
Common Name (eg, your name or your server's hostname) []:JanYork
Email Address []:747945307@qq.com

這樣CA證書就創(chuàng)建完成了，然后我們還需要去創(chuàng)建服務器密鑰和證書簽名請求(CSR)了，確?！巴ㄓ妹Q”與你連接Docker時使用的主機名相匹配。

生成server-key.pem

openssl genrsa -out server-key.pem 4096

用CA簽署公鑰

我們可以通過IP地址和DNS名稱建立TLS連接，因此在創(chuàng)建證書時需要指定IP地址。例如，允許使用127.0.0.1的連接。

openssl req -subj "/CN=127.0.0.1" -sha256 -new -key server-key.pem -out server.csr

如果是使用域名，同理。

openssl req -subj "/CN=ideaopen.cn" -sha256 -new -key server-key.pem -out server.csr

注：填寫的IP或者域名，都是將來對外開放的地址，也就是用于連接的地址。

匹配白名單

設置允許哪些IP可以遠程連接docker。

1. 允許指定IP可以遠程連接docker。

   echo subjectAltName = DNS:$HOST,IP:XX.XX.XX.XX,IP:XX.XX.XX.XX >> extfile.cnf
   

   $HOST是你的IP或者域名，使用時將$HOST替換為自己的IP或者域名。

   如：

   # 127.0.0.1 服務器上的 docker，只允許ip地址為225.225.225.0的客戶連接
   echo subjectAltName = DNS:127.0.0.1,IP:225.225.225.0 >> extfile.cnf
   # ideaopen.cn 服務器上的 docker，只允許ip地址為225.225.225.0的客戶連接
   echo subjectAltName = DNS:ideaopen.cn,IP:225.225.225.0 >> extfile.cnf
   

2. 允許所有IP連接

   設置IP為0.0.0.0即可。

   如：

   echo subjectAltName = DNS:127.0.0.1,IP:0.0.0.0 >> extfile.cnf
   

   注：但只允許永久證書的才可以連接成功

執(zhí)行命令

將Docker守護程序密鑰的擴展使用屬性設置為僅用于服務器身份驗證。

echo extendedKeyUsage = serverAuth >> extfile.cnf

生成簽名證書

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

然后輸入之前的密碼。

生成客戶端Key(key.pem)

openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

使秘鑰適合客戶端身份驗證

創(chuàng)建擴展配置文件：

echo extendedKeyUsage = clientAuth >> extfile.cnf
echo extendedKeyUsage = clientAuth > extfile-client.cnf

生成簽名證書(cert.pem)

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

輸入之前的密碼。

刪除多余文件

可以看到有很多文件生成：

生成cert.pem，server-cert.pem后，執(zhí)行如下命令：

rm -v client.csr server.csr extfile.cnf extfile-client.cnf

此命令可以安全地刪除兩個證書簽名請求和擴展配置文件。

一直填Y就可以。

修改權限

防止密鑰文件被誤刪或者損壞，我們改變一下文件權限，讓它只讀就可以。

chmod -v 0400 ca-key.pem key.pem server-key.pem

防止證書損壞，我們也刪除它的寫入權限。

chmod -v 0444 ca.pem server-cert.pem cert.pem

歸集服務器證書

cp server-*.pem /etc/docker/
cp ca.pem /etc/docker/

修改Docker配置

我們需要設置Docker的守護程序，讓它僅接收來自提供了CA信任證書的客戶端連接。

vim /lib/systemd/system/docker.service
# 當然，也可以vi
vi /lib/systemd/system/docker.service

將 ExecStart 屬性值進行修改：

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/usr/local/ca/ca.pem --tlscert=/usr/local/ca/server-cert.pem --tlskey=/usr/local/ca/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

重新加載daemon、重啟docker

systemctl daemon-reload
systemctl restart docker

使用IDEA連接Docker

我是騰訊云服務器，所有我需要開啟一下端口，先前沒開。

無證書連接

沒證書是連接不上的。

使用證書連接

獲取證書

我們首先獲取我服務器上的證書。

這四個都要。

放到一個文件夾。

IDEA連接

證書文件夾選擇你存放證書的文件夾。

URL是：https://+遠程連接IP+設置的端口。

注意：一定是HTTPS！

這樣就連接成功了。

一鍵創(chuàng)建證書腳本

#!/bin/sh
ip=你的IP
password=你的密碼
dir=/root/docker/cert # 證書生成位置
validity_period=10    # 證書有效期10年

# 將此shell腳本在安裝docker的機器上執(zhí)行，作用是生成docker遠程連接加密證書
if [ ! -d "$dir" ]; then
  echo ""
  echo "$dir , not dir , will create"
  echo ""
  mkdir -p $dir
else
  echo ""
  echo "$dir , dir exist , will delete and create"
  echo ""
  rm -rf $dir
  mkdir -p $dir
fi

cd $dir || exit
# 創(chuàng)建根證書RSA私鑰
openssl genrsa -aes256 -passout pass:"$password" -out ca-key.pem 4096
# 創(chuàng)建CA證書
openssl req -new -x509 -days $validity_period -key ca-key.pem -passin pass:"$password" -sha256 -out ca.pem -subj "/C=NL/ST=./L=./O=./CN=$ip"
# 創(chuàng)建服務端私鑰
openssl genrsa -out server-key.pem 4096
# 創(chuàng)建服務端簽名請求證書文件
openssl req -subj "/CN=$ip" -sha256 -new -key server-key.pem -out server.csr

echo subjectAltName = IP:$ip,IP:0.0.0.0 >>extfile.cnf

echo extendedKeyUsage = serverAuth >>extfile.cnf
# 創(chuàng)建簽名生效的服務端證書文件
openssl x509 -req -days $validity_period -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out server-cert.pem -extfile extfile.cnf
# 創(chuàng)建客戶端私鑰
openssl genrsa -out key.pem 4096
# 創(chuàng)建客戶端簽名請求證書文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

echo extendedKeyUsage = clientAuth >>extfile.cnf

echo extendedKeyUsage = clientAuth >extfile-client.cnf
# 創(chuàng)建簽名生效的客戶端證書文件
openssl x509 -req -days $validity_period -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out cert.pem -extfile extfile-client.cnf
# 刪除多余文件
rm -f -v client.csr server.csr extfile.cnf extfile-client.cnf

chmod -v 0400 ca-key.pem key.pem server-key.pem

chmod -v 0444 ca.pem server-cert.pem cert.pem

這一段請自行修改：

ip=你的IP
password=你的密碼
dir=/root/docker/cert # 證書生成位置
validity_period=10    # 證書有效期10年

給予權限

運行前請給腳本文件777權限。

chmod 777 xxx.sh

編輯docker.service配置文件

老樣子：

vim /usr/lib/systemd/system/docker.service

找到ExecStart = 開頭的一行代碼，將其替換為如下內容：

ExecStart=/usr/bin/dockerd \
--tlsverify \
--tlscacert=/root/docker/cert/ca.pem \
--tlscert=/root/docker/cert/server-cert.pem \
--tlskey=/root/docker/cert/server-key.pem \
-H fd:// -H tcp://0.0.0.0:2376 

注意：/root/docker/cert/是證書文件路徑！靈活使用。

刷新Docker

systemctl daemon-reload && systemctl restart docker

測試連接方法

服務器本機測試(先CD進入證書文件夾)：

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://你的ip:2376 -v

個人終端測試：

curl https://你的ip:2376/info --cert /root/docker/cert/cert.pem --key /root/docker/cert/key.pem --cacert /root/docker/cert/ca.pem

2376是你開放的端口，靈活修改！

尾述(總結)

一鍵腳本很方便，小簡推薦使用這個，不折騰，我是折騰玩兒才不用腳本的。

生產環(huán)境安全不容疏忽，大家公網環(huán)境可千萬別粗心大意哦！Docker很多教程都只告訴你打開連接，萬一有人服務器上開啟連接，那就不是很好了，所以我才寫一篇安全認證配置和Linux Dcoker遠程連接配置一起的教程。

下期再見，小簡提前祝大家新春快樂哦！文章來源地址http://www.zghlxwxcb.cn/news/detail-781777.html

到了這里，關于Linux開啟Docker遠程訪問并設置安全訪問(證書密鑰)，附一份小白一鍵設置腳本哦！的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！