Docker的套接字介绍

最新推荐文章于 2024-04-07 19:36:46 发布
最新推荐文章于 2024-04-07 19:36:46 发布
阅读量896 收藏
点赞数
文章标签: Docker的套接字介绍
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KW__jiaoq/article/details/123139040
版权
本文详细介绍了如何查看Docker状态,包括安装、启动、停止Docker服务。通过修改配置文件,将Docker从监听本地套接字改为监听网络端口2375,以允许远程客户端连接。同时,提到了开启网络套接字的安全风险,并指出在生产环境中通常不推荐直接使用网络套接字,而是推荐使用K8S等平台进行管理。
摘要由CSDN通过智能技术生成

查看Docker状态


[root@Docker1 ~]# systemctl status docker             
● docker.service - Docker Application Container Engine
   Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled)
   Active: active (running) since 四 2022-02-24 22:22:01 CST; 20h ago
     Docs: https://docs.docker.com
 Main PID: 99295 (dockerd)
   Memory: 408.6M
.............

在执行yum -y install docker-ce的动作的时候,已经安装好了docker客户端服务端

​
[root@Docker1 ~]# docker version                         
Client: Docker Engine - Community        #客户端引擎社区版
 Version:           20.10.12             #版本
 API version:       1.41
 Go version:        go1.16.12
 Git commit:        e91ed57
 Built:             Mon Dec 13 11:45:41 2021
 OS/Arch:           linux/amd64
 Context:           default
 Experimental:      true

Server: Docker Engine - Community        #服务端引擎
 Engine:
  Version:          20.10.12
  API version:      1.41 (minimum version 1.12)
  Go version:       go1.16.12
  Git commit:       459d0df
  Built:            Mon Dec 13 11:44:05 2021
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.4.12
  GitCommit:        7b11cfaabd73bb80907dd23182b9347b4245eb5d
 runc:
  Version:          1.0.2
  GitCommit:        v1.0.2-0-g52b36a2
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0

docker是一个C/S架构,在执行docker的指令的时候,会默认连接到自己本机的docker -deamon进程

停止掉docker进程


[root@Docker1 ~]# ps -ef|grep docker               
root       4535 126470  0 18:45 pts/0    00:00:00 grep --color=auto docker
root      99295      1  0 13:14 ?        00:00:12 /usr/bin/dockerd --bip=10.0.19.1/24 --ip-masq=true --mtu=1450 -H fd:// --containerd=/run/containerd/containerd.sock
root     108615      1  0 13:18 ?        00:00:00 docker run -it busybox
[root@Docker1 ~]# systemctl stop docker                  
Warning: Stopping docker.service, but it can still be activated by:
  docker.socket
[root@Docker1 ~]# systemctl status docker               
● docker.service - Docker Application Container Engine
   Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled)
   Active: inactive (dead) since 五 2022-02-25 18:45:39 CST; 2s ago
     Docs: https://docs.docker.com
...........
....

客户端使用套接字连接,不需要监听任何端口,只需要读取/var/run/docker.sock这个文件


[root@Docker1 ~]# ll /var/run/docker.sock             
srw-rw----. 1 root docker 0 2月  24 20:38 /var/run/docker.sock

默认是监听本地的套接字文件,也可以使用网络套接字,需要修改启动文件


[root@Docker1 ~]# vim /lib/systemd/system/docker.service                      
.......
...
  8 [Service]
  9 Type=notify
 10 # the default is not to use systemd for cgroups because the delegate iss    ues still
 11 # exists and systemd currently does not support the cgroup feature set r    equired
 12 # for containers run by docker
 13 EnvironmentFile=/run/docker_opts.env
 14 ExecStart=/usr/bin/dockerd $DOCKER_OPTS -H fd:// --containerd=/run/conta    inerd/containerd.sock       #fd://  表示监听的本地套接字
 15 ExecReload=/bin/kill -s HUP $MAINPID
 16 TimeoutSec=0
 17 RestartSec=2
 18 Restart=always
......
...

配置成监听网络接口

.......
...
  8 [Service]
  9 Type=notify
 10 # the default is not to use systemd for cgroups because the delegate iss    ues still
 11 # exists and systemd currently does not support the cgroup feature set r    equired
 12 # for containers run by docker
 13 EnvironmentFile=/run/docker_opts.env
 14 ExecStart=/usr/bin/dockerd $DOCKER_OPTS -H 0.0.0.0:2375 --containerd=/ru    n/containerd/containerd.sock           #修改为0.0.0.0:2375
 15 ExecReload=/bin/kill -s HUP $MAINPID
 16 TimeoutSec=0
 17 RestartSec=2
 18 Restart=always
.......
...

保存退出

[root@Docker1 ~]# systemctl daemon-reload               
[root@Docker1 ~]# systemctl restart docker            
[root@Docker1 ~]# netstat -ntlp               
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      969/sshd            
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1076/master         
tcp6       0      0 :::22                   :::*                    LISTEN      969/sshd            
tcp6       0      0 ::1:25                  :::*                    LISTEN      1076/master         
tcp6       0      0 :::2375                 :::*                    LISTEN      13031/dockerd       #docker的网络套接字就配置完成

docker的网络套接字就配置完成,客户端就可以连接2375端口,连接docker-daemon,服务端就是开启端口,等着客户端进行访问


[root@Docker1 ~]# docker -H 192.168.2.17 version  或者 docker -H 192.168.2.17:2375 version                      
Client: Docker Engine - Community
 Version:           20.10.12
 API version:       1.41
 Go version:        go1.16.12
 Git commit:        e91ed57
 Built:             Mon Dec 13 11:45:41 2021
 OS/Arch:           linux/amd64
 Context:           default
 Experimental:      true

Server: Docker Engine - Community
 Engine:
  Version:          20.10.12
  API version:      1.41 (minimum version 1.12)
  Go version:       go1.16.12
  Git commit:       459d0df
  Built:            Mon Dec 13 11:44:05 2021
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.4.12
  GitCommit:        7b11cfaabd73bb80907dd23182b9347b4245eb5d
 runc:
  Version:          1.0.2
  GitCommit:        v1.0.2-0-g52b36a2
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0

docker在开启网络套接字,默认是没有任何验证的,需要安全配置,否则会很危险,生产中也不会使用网络套接字来管理所有的docker客户端,默认使用本地的文件套接字管理自己的docker服务端,如果需要管理所有的docker,可以借助K8S平台进行管理

乘浪初心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
如何使用 TLS 保护 Docker 的 TCP 套接字
学海无涯苦作舟的博客
03-05 1828
Docker 的 API 默认情况下完全不受保护,除了其 Unix 套接字上的文件系统权限。您应该在通过 TCP 公开 Docker API时设置 TLS,以便 Docker 引擎和您的客户端可以验证彼此的身份。否则,任何有权访问 TCP 端口的人都可以浏览您的 Docker 容器、启动新容器并像root在您的系统上一样运行操作。 配置的 TLS 将要求客户端提供由服务器证书颁发机构签名的有效证书。要使其正常工作,您需要创建 SSL 证书,然后设置 Docker Engine 以要求 TLS 连接。还必须.
docker-socket-proxy:通过您的Docker套接字代理以限制其接受的请求
02-01
Docker套接字代理 什么? 这是Docker套接字的增强安全性的代理。 为什么? 授予对Docker套接字的访问权限可能意味着授予对主机甚至整个集群的root访问权限,但是某些服务需要挂钩到该套接字以对事件做出React,...
docker套接字介绍及使用
我有两颗星星
08-09 769
查看docker状态 systemctl status docker 在执行yum -y install dokcer-re的动作的时候,已经安装好了docker的客户端和服务端 [root@docker-server3 ~]# docker version Client: Docker Engine - Community #客户端引擎社区版 Version: 19.03.4 #版本 API version: 1.40 .
运行 Docker 容器时的安全风险:别丢了你的套接字
weixin_34067980的博客
02-16 115
我们都遇到过这种情况:你只是想尝试一段命令行,但安装进程却如同抵押贷款申请那般繁琐。如果不是强制要求完成这么多步骤,你的开发环境会被永远不会再使用的库弄乱。自然, Docker 来了以后,你惊异地发现尝试一个新工具变得更容易了。但它是不是太容易了?也许是时候问问自己:在你寻求一个简单命令行工具的时候,是不是偶然间就给了 Docker 太多...
Docker存储驱动与套接字简介
礁之的博客
12-15 909
文章目录一、Docker存储驱动(1)Docker的分层特性(2)容器读写层的工作原理-写时复制:-用时分配:(3)Docker存储驱动-AUFS-OverlayFS-Devicemapper-常用存储驱动对比-AUFS VS OverlayFS二、Docker套接字介绍 一、Docker存储驱动 (1)Docker的分层特性 Docker容器的启动是依赖于image镜像的,在Docker容器启动前需要先拉取镜像,然后再启动容器,多个容器可以使用同一个镜像动,这些容器都是共用一个镜像,而不是各自将镜像复
Docker 生产环境之安全性 - 保护 Docker 守护进程套接字
kikajack的博客
03-17 1046
原文地址默认情况下,Docker 通过非联网的 Unix 套接字运行。它也可以选择使用 HTTP 套接字进行通信。如果需要通过网络以安全方式访问 Docker,则可以通过指定 tlsverify 标志并将 Docker 的 tlscacert 标志指向受信任的 CA 证书来启用 TLS。在守护进程模式下,它只允许客户端通过由该 CA 签名的证书进行身份验证。在客户端模式下,它仅连接到具有由该 CA
docker-expose-socket:Docker映像,用于通过TCP公开Docker UNIX套接字,而无需重新配置守护程序本身
05-04
通过TCP公开Docker套接字有时,运行受TLS支持的Docker远程API查询会很复杂。 为了在无需更改Docker守护程序的设置的情况下实现此目的,请使用此映像通过TCP公开Docker套接字。 另外,当前的Docker版本中似乎存在一些...
serial-instrument:Docker容器为串行设备创建套接字接口
03-16
Docker容器提供了多种协议接口,可与启用序列的仪器进行通信(例如,梅特勒-托利多天平。IKA搅拌器,Julabo冷却器,Cole Parmer泵等)。 例子 在连接到串行仪器的启用wifi的微型计算机上启动此容器系统。 微型计算机...
tbdchat:使用BSD套接字的简单NCurses聊天ClientServer
04-30
使用BSD套接字的简单NCurses聊天客户端/服务器 客户功能 清洁NCurses界面 广泛的本地帮助系统 无序互动 配置文件 自动重新连接 服务器功能 允许对任何给定的唯一用户名进行一次注册 存储与每个用户名关联的SHA256...
docker daemon远程连接设置详解
01-10
支持本地unix socket域套接字通信与远程socket通信。默认为本地unix socket通信,要支持远程客户端访问需要做如下设置(仅用于测试,生产环境开启会极大增加不安全性:由于开了监听端口,任何人可以通过远程连接到...
Idea工具连接docker
lovoo的博客
07-27 909
1、下载安装docker 参照:https://lovoo.blog.csdn.net/article/details/115445567 2、配置docker的远程端口 vi /usr/lib/systemd/system/docker.service 找到ExecStart,在最后追加 -H tcp://0.0.0.0:2375 如图: 重启docker systemctl daemon-reload systemctl stop docker systemctl start docker 3、关
Docker学习(4) Docker 容器底层技术
最新发布
wang_8218的博客
04-07 1499
Docker底层技术
docker浅学笔记-docker网络管理
一别两宽丶各生欢喜
02-23 351
###docker网络管理### docker网络管理主要试验了三点:外部访问容器端口,痛点在于创建容器时考虑不周到,中途指定端口映射失败,需要先将容器打包为镜像,重新创建并指定端口映射;单机容器互通根据情况选择方法;不同主机网络互通痛点在于etcd设定ip地址规则,key一定要对应flannel配置文件,还有docker需要配置连接flannel,否则docker网桥和容器地址也...
k8s 1.12二进制部署
dengkuo19860718的博客
07-14 430
提供的几种Kubernetes部署方式 l minikube Minikube是一个工具,可以在本地快速运行一个单点的Kubernetes,尝试Kubernetes或日常开发的用户使用。不能用于生产环境。 l kubeadm Kubeadm也是一个工具,提供kubeadm init和kubeadm join指令,用于快速部署Kubernetes集群。 l 二进制包 从官...
docker-ce 通过tcp套接字监听
微微一笑
09-07 1128
docker是c/s架构的应用程序,默认仅监听在unix socket格式的地址,/var/run/docker.sock 如果想使用tcp套接字,则需要编辑/etc/docker/daemon.json文件 vim /etc/docker/daemon.json 添加 "hosts":["tcp://0.0.0.0:PORT,unix:///var/run/docker.sock"] 也可...
Docker学习笔记 — 开启Docker远程访问
热门推荐
Just for fun
03-20 6万+
开启Docker远程访问
Docker打开TCP管理端口
onlyshenmin的博客
07-16 1万+
Docker打开TCP管理端口 Docker打开TCP管理端口 1.开启TCP管理端口 1.1. 创建目录/etc/systemd/system/docker.service.d 1.2. 在这个目录下创建tcp.conf文件,增加以下内容, Ubuntu专用版 Ubuntu和CentOS7 通用版 1.3. Daemon重新reload ,并重启docker 1.4. 查看端口是否打开...
docker无法连接守护进程
09-07
你好!对于无法连接Docker守护进程的问题,有几个可能的原因和解决方法可以尝试: 1. 权限问题:确保您正在以root或具有足够权限的用户身份运行Docker命令。您可以尝试使用`sudo`来运行命令,例如:`sudo docker ps`。 2. Docker服务未启动:检查Docker服务是否已启动。您可以尝试通过运行以下命令来启动它: ``` sudo service docker start ``` 3. Docker进程未运行:确保Docker守护进程正在后台运行。您可以尝试使用以下命令来检查它: ``` ps aux | grep dockerd ``` 4. Docker套接字权限问题:检查Docker套接字文件的权限是否正确。默认情况下,它应该位于`/var/run/docker.sock`。确保该文件的权限为`660`,并且您所属的用户组具有访问该文件的权限。 如果上述解决方案都不能解决问题,您可以提供更多关于您的操作系统、Docker版本以及任何相关错误信息的详细信息,以便我们能够更好地帮助您解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乘浪初心

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值