centos7为docker配置远程TLS验证,端口设定为2376

最新推荐文章于 2025-03-08 21:47:03 发布
原创 最新推荐文章于 2025-03-08 21:47:03 发布 · 5.2k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在CentOS 7上配置Docker以实现远程访问,并通过TLS进行安全验证。包括安装Docker、修改启动配置、生成证书、设置客户端等步骤。

首先安装一个docker

yum install docke

启动Docker服务

systemctl start docker.service

查看Docker版本

docker version

centos7版本的docker的启动配置文件路径:

/lib/systemd/system/docker.service

在/lib/systemd/system/docker.service的ExecStart属性中追加:

--tlsverify \
--tlscacert=/etc/docker/ca.pem \
--tlscert=/etc/docker/server-cert.pem \
--tlskey=/etc/docker/server-key.pem \
-H tcp://0.0.0.0:2376

重启Docker服务

service docker restart

至此,该docker服务已经具备了被远程访问的能力.

但是,由于是TLS验证,所以必须要有证书,那么上面提到的/etc/docker文件夹里的ca.pem cert.pem key.pem三个文件是一定要有的.

这三个文件是由服务端生成,然后发送给客户端,客户端凭借与服务端相同的证书来进行访问.
linux下生成证书的命令为:

[root@centos7 year]# sudo su   //切换到root用户下..
[root@centos7 year]# read -s PASSWORD   //定义一个密码变量
[root@centos7 year]# read SERVER   //定义一个用户名变量
[root@centos7 year]# cd /etc/docker   //切换到生产密钥的目录.
[root@centos7 year]# openssl genrsa -aes256 -passout pass:$PASSWORD \
> -out ca-key.pem 2048
[root@centos7 year]# openssl genrsa -out server-key.pem 2048
[root@centos7 year]# openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server.csr
[root@centos7 year]# openssl x509 -req -days 365 -in server.csr -CA ca.pem -CAkey ca-key.pem \
> -passin "pass:$PASSWORD" -CAcreateserial \
> -out server-cert.pem
[root@centos7 year]# openssl genrsa -out key.pem 2048
[root@centos7 year]# openssl req -subj '/CN=client' -new -key key.pem -out client.csr
[root@centos7 year]# sh -c 'echo "extendedKeyUsage=clientAuth" > extfile.cnf'
[root@centos7 year]# openssl x509 -req -days 365 -in client.csr -CA ca.pem -CAkey ca-key.pem \
> -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem \
> -extfile extfile.cnf
[root@centos7 year]# chmod 0400 ca-key.pem key.pem server-key.pem   //更改密钥权限
[root@centos7 year]# chmod 0444 ca.pem server-cert.pem cert.pem   //更改密钥权限
[root@centos7 year]# rm client.csr server.csr   //删除无用文件
[root@centos7 year]# scp /etc/docker/*.pem youHost:/etc/docker   //将密钥发送到你的主机.

由于上面配密钥的时候使用的是用户名加密码,所以当客户端访问时,需要将用户名配在客户端的/etc/hosts文件里,格式如下:

例子: 192.168.1.1 centos7
要访问的docker服务的宿主机的ip 刚才输入的SERVER变量值.

链接命令:

[root@centos7 year]# docker --tlsverify --tlscacert=/etc/docker/ca.pem \
> --tlscert=/etc/docker/cert.pem --tlskey=/etc/docker/key.pem \
> -H centos7:2376 version
如何配置Docker守护进程的安全选项,比如启用TLS认证?
weixin_39291964的博客
07-20 77
Docker 守护进程安全配置指南摘要 本文详细介绍 Docker 守护进程的安全配置方案,重点包含 TLS 认证实现步骤。主要内容: 生成CA、服务器和客户端证书,配置加密通信 配置daemon.json启用TLS验证,限制监听端口 客户端环境变量设置及连接测试 其他安全措施:非root用户运行、网络访问限制、安全策略启用 关键要点: 证书需定期轮换,私钥权限设为600 通过docker info验证TLS状态 建议结合证书自动续期工具和审计日志分析 适用场景:生产环境中需要安全管控Docker守护进程的
如何为Docker配置TLS加密通信(2376端口)?
weixin_39291964的博客
07-13 361
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=tcp://服务器IP:2376 ps。openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -subj “/CN=你的域名或IP” -out ca.pem。docker -H tcp://服务器IP:2376 --tlsverify info # 返回Docker系统信息。
Docker 配置 TLS
贝克街的流浪猫
04-03 1280
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker 以安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
DockerTLS 认证
记录了,但是完全不会。
07-05 871
使用脚本快速创建TLS证书并部署到Docker服务,解决2375端口引发的安全漏洞。
docker_tls配置
weixin_50668398的博客
03-23 598
修改docker启动配置,启动参数加上这些 vi /lib/systemd/system/docker.service。执行生成证书脚本 vi tls.sh 证书生成路径/etc/docker/ca/通过docker命令行测试端口开放是否成功 ps:如0.0.0.0运行失败换成本机ip。脚本预写,可不执行 重启docker服务。
docker配置2376端口
李嘉图呀李嘉图的博客
05-24 3329
环境:IntelliJ IDEA 2018.1.6 x64、CentOS 7 一、无CA认证 1、修改服务器配置,开放Docker远程连接访问 [root@localhost ~]# vim /usr/lib/systemd/system/docker.service 1 List item 将ExecStart属性value值改为 /usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock 2、重启docker [root@
Centos Docker1.12 远程Rest api访问的配置方法
09-30
CentOS 7中,Docker 1.12版本,可以通过配置开启远程REST API访问来实现这一功能。下面将详细介绍如何配置CentOS Docker 1.12以允许远程REST API访问。 首先,Docker默认使用Unix套接字(socket)与守护进程通信...
CentOS Stream 9部署docker,并开启API
zhengshaolin128的博客
09-22 1761
CentOS Stream 9部署docker,并开启API
docker设置TLS,保证端口2375的安全连接。亲测可用~
qq971473597的博客
07-31 1848
前提:登录服务器,创建一个保存证书的文件夹。 我的路径是 /home/bright/ca 1.生成私有和公有秘钥 1.1 输入命令 openssl genrsa -aes256 -out ca-key.pem 4096 会有提示:Enter pass phrase for ca-key.pem: 输入,并记住这个ca-key密码! 1.2 输入命令 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 会有提示:Ente
《伸手系列》之Docker开启2376端口CA认证
御前提笔小书童
01-20 1323
前言 众所周知,docker可以开启远程访问API,但是发现很多都是直接开启2375端口,未做安全配置,从而出现安全隐患,最近在将docker环境统一portainer管理时,发现有这种情况。本文讲解如何开启安全认证的方法,配置TLS保证API的安全。 简单粗暴的开启远程访问 1、开启方式 编辑docker文件:/usr/lib/systemd/system/docker.service vim ...
Docker配置TLS加密,IDEA远程连接Docker
wqs229342的博客
06-27 566
使用 OpenSSL创建 CA、服务器和客户端密钥(提供一键生成脚本),轻松使用IDEA远程Docker
这就是你日日夜夜想要的docker!!!---------TLS加密远程连接Docker
热门推荐
weixin_47219935的博客
09-25 1万+
文章目录一、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题3、Docker 架构缺陷与安全机制二、TLS加密通讯协议1、TLS介绍2、CA证书三、配置TLS安全加密1、实验环境准备2、创建CA根证书RSA私钥3、创建ca证书4、创建服务器私钥5、生成服务端证书6、生成签名过的服务端证书7、生成客户私钥8、生成客户端证书签名9、生成名为extfile.cnf的配置文件10、客户端签名证书11、删除多余文件12、配置dockerservice配置文件13、将秘钥文件传到客户端1
Docker开启TLS认证
qq_35156626的博客
12-21 895
修复Docker远程API调用漏洞,启用TLS认证
docker安全配置以及部署Docker-TLS加密通讯
ljj的学习笔记
04-05 775
目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、部分安全操作1、容器最小化2、Docker remote api 访问控制3、限制流量流向4、镜像安全5、Docker-TLS加密通讯
ECS中Docker配置TLS和idea链接dokcer实践
jhyfugug的博客
11-03 457
Jmeter+influxdb+Grafana+Docker 初步实践
dockerTLS加密传输
2201_75480412的博客
03-08 1141
openssl req -subj "/CN=<服务器IP或域名>" -sha256 -new -key server-key.pem -out server.csr。但是该路径默认使用的是系统盘的存储,如果挂载了数据盘,需要把docker的默认存储路径修改至数据盘的挂载目录,则需要修改docker的相关配置。将 ca.pem 、client-cert.pem 、client-key.pem 复制到客户端 ~/.docker/ 目录。# 生成加密的 CA 私钥(4096位,AES-256加密)
centos7中开放docker远程连接端口
二十一克阳光!的博客
07-25 3171
配置docker远程连接端口 vi /usr/lib/systemd/system/docker.service 找到 ExecStart,在最后面添加 -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock \,如下图所示 重启docker systemctl daemon-reload systemctl restart docker 开放端口 firewall-cmd --zone=public --add-port=2375/tcp -
docker开启2376端口CA认证
qq_20161461的博客
09-27 664
Docker CA认证 1、创建ca文件夹,存放CA私钥和公钥 mkdir -p /usr/local/ca cd /usr/local/ca/ 2、创建密码 需要连续输入两次相同的密码 openssl genrsa -aes256 -out ca-key.pem 4096 3、依次输入密码、国家、省、市、组织名称等 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 4、生成server-key.pem opens
配置 Docker 远程连接端口
最新发布
10-30
<think>嗯,用户想了解如何配置Docker远程连接端口,我要根据提供的引用内容来整理步骤。首先,引用[1]提到在ExecStart行添加"-H tcp://0.0.0.0:2375",然后重启docker和防火墙放行端口。引用[2]展示了redis容器的端口映射例子,但用户关注的是守护进程配置而非容器端口。引用[3]重复了重启和防火墙命令。 用户明确需要配置Docker守护进程以支持远程API访问,而不是容器端口映射。核心步骤应该是修改systemd配置:定位docker.service文件,在ExecStart末尾添加"-H tcp://0.0.0.0:2375"。这里端口可以自定义,但2375是默认的未加密端口。之后必须daemon-reload重启服务,防火墙开放对应端口。安全方面需要强调风险,引用[1]测试成功但未提加密措施。 考虑到用户可能的环境差异,需要补充不同系统的配置文件路径差异:Ubuntu在/lib/systemd/system,CentOS在/usr/lib/systemd/system。测试部分应给出curl命令示例,同时提醒TLS加密配置的复杂性。安全警告必须突出,比如直接暴露2375端口的危险性,建议内网使用或启用TLS。 相关问题设计要覆盖延伸需求:如何加密配置、修改端口、容器端口映射的区别、防火墙管理以及安全加固措施。用户可能是运维人员,所以故障排查部分加入端口占用检测命令(netstat/lsof)很有必要。 </think>以下是配置 Docker 远程连接端口的完整步骤及注意事项: ### 配置步骤 1. **修改 Docker 服务配置** ```bash sudo vim /etc/systemd/system/docker.service.d/override.conf ``` 在 `[Service]` 部分添加(若文件不存在则新建): ```ini [Service] ExecStart=/usr/bin/dockerd -H fd:// -H tcp://0.0.0.0:2375 ``` > 📌 关键说明: > `-H tcp://0.0.0.0:2375` 启用 TCP 监听(端口可自定义)[^1] 2. **重启 Docker 服务** ```bash sudo systemctl daemon-reload && sudo systemctl restart docker ``` 3. **防火墙放行端口** ```bash sudo firewall-cmd --zone=public --add-port=2375/tcp --permanent sudo firewall-cmd --reload ``` 4. **验证配置** ```bash curl http://localhost:2375/version # 本地测试 telnet 服务器IP 2375 # 远程测试 ``` ### ️ 安全警告 1. **高风险暴露** 直接暴露 2375 端口可能被劫持(如:恶意创建容器、删除镜像),**仅限内网环境使用**。 2. **强制加密方案(生产必选)** ```ini ExecStart=/usr/bin/dockerd --tlsverify \ --tlscacert=/etc/docker/ca.pem \ --tlscert=/etc/docker/server-cert.pem \ --tlskey=/etc/docker/server-key.pem \ -H tcp://0.0.0.0:2376 ``` > 需配置 TLS 证书并改用 2376 加密端口。 ### 常见问题场景 - **容器端口映射 vs 守护进程端口** 用户可能混淆容器端口映射(如 `-p 6399:6379`[^2])与守护进程端口(控制 API 访问)。 - **配置未生效排查** ```bash sudo systemctl status docker # 检查服务状态 journalctl -u docker -n 50 # 查看日志 ss -tuln | grep 2375 # 确认端口监听 ``` --- ### 相关问题 1. 如何为 Docker 远程连接配置 TLS 加密证书? 2. 修改 Docker 监听端口后客户端如何连接? 3. 防火墙放行端口失败有哪些常见原因? 4. Docker 远程 API 有哪些高风险操作需要防护? 5. 容器端口映射与守护进程端口的区别是什么?[^2] [^1]: Docker 守护进程配置参考 [^2]: 容器端口映射示例 [^3]: 服务重启与防火墙命令
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值