forget_the_bright
/
dotnet-learn-vs
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
You cannot select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
main
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'c540e76fca'
${ noResults }
dotnet-learn-vs/WebMVC/WebMVCApi/md/docker 开放远程管理,portainer 添加远...

3.9 KiB
Raw Blame History Unescape Escape

icon date category headerDepth
edit 2023-04-06
Docker
5

docker 开放远程管理portainer 添加远程docker 服务器 ,docker 开启TLS 认证

docker 开放远程管理

修改docker 服务文件

vim /usr/lib/systemd/system/docker.service

启动命令后追加 -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock

#找到ExecStart这行 在后面加上-H tcp://0.0.0.0:2375  其它方式一会docker就挂了 而且重启无效 
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock

重启docker

systemctl daemon-reload
systemctl restart docker

防火墙开放端口

firewall-cmd --zone=public --add-port=2375/tcp --permanent
systemctl reload firewalld

portainer 添加远程docker 服务器

image-1680765916390 image-1680766178357

配置Docker开启TLS认证

直接开放 Docker 2375 端口容易造成生成事故,被人入侵挖矿之类的, 所以这里开启TLS 认证来安全防护

生成TLS证书

创建证书生成脚本 createcert.sh放置/opt/sh目录

mkdir -p /opt/sh /opt/cert/docker
touch /opt/sh/createcert.sh
vim /opt/sh/createcert.sh

在createcret.sh添加内容

#!/bin/bash
set -e
if [ -z $1 ];then
        echo "请输入Docker服务器的域名"
        exit 0
fi
HOST=$1
mkdir -p /opt/cert/docker
cd /opt/cert/docker
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
# 配置白名单推荐配置0.0.0.0允许所有IP连接但只有证书才可以连接成功
echo subjectAltName = DNS:$HOST,IP:0.0.0.0 > extfile.cnf
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth > extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
rm -v client.csr server.csr
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

执行 createcert.sh 脚本,生成证书放置 /opt/cert/docker 目录中

# wuanwanghao.top 是服务器的域名
sh /opt/sh/createcert.sh wuanwanghao.top

按照提示输入相关信息,密码一致,其他信息可留空,等脚本指定完成之后,可在 /opt/cert/docker 目录查看到生成的证书。 image-1680790203577

配置Docker开启TLS认证

vim /usr/lib/systemd/system/docker.service

在ExecStart属性后追加

--tlsverify --tlscacert=/opt/cert/docker/ca.pem  \
--tlscert=/opt/cert/docker/server-cert.pem \
--tlskey=/opt/cert/docker/server-key.pem \
-H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock

重新加载docker配置后重启

systemctl daemon-reload
systemctl restart docker

查看2376端口是否启动

netstat -nltp | grep 2375

本地连接测试Docker API是否可用

没有指定证书访问测试

curl https://wuanwanghao.top:2375/info

指定证书访问测试

curl https://wuanwanghao.top:2375/info --cert /opt/cert/docker/cert.pem --key /opt/cert/docker/key.pem --cacert /opt/cert/docker/ca.pem

portainer 重新添加docker机器

删除原先docker 机器 ,重新添加 勾选TLS 选项 image-1680790455212

上传生成的TLS 文件 image-1680790603638

重新链接即可