远程访问 Docker Daemon

最新推荐文章于 2025-03-25 15:22:40 发布
最新推荐文章于 2025-03-25 15:22:40 发布
阅读量5.8k 收藏 4
点赞数 2
分类专栏: Docker 文章标签: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cao0507/article/details/83043485
版权

更多精彩内容请访问我的新博客站点

介绍

最近的项目中涉及到监控远程主机上的 Docker 容器的运行状况,即通过本地 docker 客户端访问远程主机的 docker 服务端,以此来监控远程主机上的 Docker 容器。但是 Docker Daemon 默认情况下是只允许本地访问的,不允许远程访问。本文将首先介绍 Docker Daemon 的连接方式,然后说明如何配置远程访问。

Docker Daemon 的连接方式

  1. UNIX 域套接字

    默认就是这种方式, 会生成一个 /var/run/docker.sock 文件, UNIX 域套接字用于本地进程之间的通讯, 这种方式相比于网络套接字效率更高, 但局限性就是只能被本地的客户端访问。

  2. tcp 端口监听

    服务端开启端口监听 dockerd -H IP:PORT , 客户端通过指定IP和端口访问服务端 docker -H IP:PORT 。通过这种方式, 任何人只要知道了你暴露的ip和端口就能随意访问你的docker服务了, 这是一件很危险的事, 因为docker的权限很高, 不法分子可以从这突破取得服务端宿主机的最高权限。

配置 Docker 远程访问

看到一些资料上面说可以通过修改 /etc/default/docker 文件来修改 Docker Daemon 的配置,也就是编辑docker的配置文件 /etc/default/docker 中的 DOCKER_OPTS 选项成同时监听本地 unix socket 和远程 http socket(2375)

DOCKER_OPTS="-H unix:///var/run/docker.sock -H tcp://0.0.0.0:2375"

但是通过这种方法修改完成重新启动 docker 守护进程之后,Docker Daemon 并没有在监听 2375 端口。然后发现其实在 /etc/default/docker 文件也有说到:

# THIS FILE DOES NOT APPLY TO SYSTEMD
#
#   Please see the documentation for "systemd drop-ins":
#   https://docs.docker.com/engine/admin/systemd/

因为 Ubuntu 16.04 使用 systemd 来管理 docker 进程,/etc/default/docker 文件已经不再起作用了,该文件只对更老的系统起作用。正确的配置方式如下:

主要参考该链接:Adjustments to docker setting

1. Changes to default options

安装好 Docker 后可能有一些选项需要修改,就像我们这里想要配置 Docker Daemon 允许远程访问一样。有两种方法:

  • 修改 /etc/default/docker/lib/systemd/system/docker.service 文件,但是这种方法对不同版本的 Docker 有不同的配置方法,不推荐。
  • 创建 /etc/docker/daemon.json 来作为配置文件,Docker 推荐使用这种方法,这也是我们接下来介绍的。

注:这里使用的是 Ubuntu 16.04 LTS 系统,使用了 systemd 来管理 docker 进程。而更老版本的 Ubuntu 系统没有使用 systemd,所以只需要修改 /etc/default/docker 文件就够了。

开始之前,先关闭 docker 进程:

$ sudo service docker stop

注意:在上面的原文链接的方法中,还会修改 docker 的默认目录,也就是将 /var/lib/docker 修改成了 /data/docker ,修改之后我们原来的容器镜像都会找不到的,所以我们就不修改默认目录,还是使用原来的 /var/lib/docker。可以使用以下命令查看 docker 默认目录:

$ docker info | grep "Docker Root Dir"
Docker Root Dir: /var/lib/docker
2. Create/modify files

创建 /etc/docker/daemon.json 文件(如果已经存在则修改),加入以下内容:

{
  "hosts" : ["unix:///var/run/docker.sock", "tcp://0.0.0.0:2375"]
}
  • "unix:///var/run/docker.sock":unix socket,本地客户端将通过这个来连接 Docker Daemon。
  • "tcp://0.0.0.0:2375":tcp socket,表示允许任何远程客户端通过 2375 端口连接 Docker Daemon。

注意:这里也和原文链接有点不同。

3. Servers using systemd:

可以使用 systemctl edit docker 来调用文本编辑器修改指定的单元或单元实例,ubuntu 默认调用的是 nano 编辑器,不是很好用,如果不熟悉 nano 编辑器的操作可以使用 vim 编辑器。

主要也就是新建或修改 /etc/systemd/system/docker.service.d/override.conf,其内容如下:

##Add this to the file for the docker daemon to use different ExecStart parameters (more things can be added here)
[Service]
ExecStart=
ExecStart=/usr/bin/dockerd

解释一下:

默认情况下使用 systemd 时,docker.service 的设置为:ExecStart=/usr/bin/dockerd -H fd://,这将覆盖写到 daemon.json 中的任何 hosts 。通过在 override.conf 文件中将 ExecStart 仅仅定义为:ExecStart=/usr/bin/dockerd,这将会使用在 daemon.json 中设置的 hosts 。这个文件中的第一行ExecStart= 必须要有,因为它将用于清楚默认的 ExecStart 参数。如果是修改 docker.service 的文件而不是创建 override.conf,那么下次 systemd 重启时,docker.service 文件也会被重新创建。

重新加载 daemon 并重启 docker 服务:

$ sudo systemctl daemon-reload
$ sudo systemctl restart docker.service

检查端口监听:

# netstat -ntlp |grep dockerd
tcp6       0      0 :::2375             :::*         LISTEN      6259/dockerd

如果检查端口监听时出现下面的提示,则说明需要使用 root 权限。

(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)

在远程主机上面通过 tcp socket 来访问本机的 Docker Daemon 服务:

$ docker -H 192.168.1.130:2375 images

$ docker -H 192.168.1.130:2375 ps

其中 192.168.1.130 是开放了远程访问的主机的 IP。

另外需要注意的是这种操作是不太安全的,仅用于测试使用。

Docker实战-Docker Daemon
DWWWWWEI的博客
10-20 3万+
一、修改Docker Daemon    Docker DaemonDocker的守护进程,Docker Client通过命令行与Docker Damon通信,完成Docker相关操作    Docker Daemon有不同的修改方式:命令行修改,修改启动项,修改配置文件。其中仅仅只是研究或一次使用Docker Daemon的不同选项时,可以通过命令行的方式,此时Docker Daemon运行在前
docker daemon远程连接设置
热门推荐
推背图的博客
03-13 1万+
Docker为C/S架构,服务端为docker daemon,客户端为docker.service.支持本地unix socket域套接字通信与远程socket通信。默认为本地unix socket通信,要支持远程客户端访问需要做如下设置(仅用于测试,生产环境开启会极大增加不安全性:由于开了监听端口,任何人可以通过远程连接到docker daemon服务器进行操作):1、设置daemon监听连接:...
docker daemon远程连接设置详解
09-30
本篇文章主要介绍了docker daemon远程连接设置详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker ssh远程连接
最新发布
jacke121的专栏
03-25 555
docker ssh远程连接
远程连接docker daemonDocker Remote API
weixin_34064653的博客
08-15 271
当我们的docker安装好之后,运行sudo docker ps查看是否运行成功。 sudo groupadd docker # 创建docker组 sudo usermod -aG docker whoami # 将当前用户添加到docker组 重启docker服务,注销登录,再次登录,这样就可以免去每次...
docker命令行操作远程Dockerd daemon服务
zhang197093的博客
05-15 922
本地安装Dockerd服务太耗本机磁盘空间了,共用已有的Dockerd服务能够节省一部分空间。
docker开启远程访问
蜜獾互联网
12-12 1065
至此,CA证书就创建完成了,有了CA之后,就可以创建服务器密钥和证书签名请求(CSR)了,确保“通用名称”与你连接Docker时使用的主机名相匹配。由于可以通过IP地址和DNS名称建立TLS连接,因此在创建证书时需要指定IP地址。配置0.0.0.0,允许所有的ip可以链接(但只允许永久证书的才可以连接成功)使Docker守护程序仅接收来自提供CA信任的证书的客户端的链接。注意:这里指的ip或者是域名,都是指的将来用于对外的地址。配置白名单的意义在于,允许哪些ip可以远程连接docker
如何开放2375和2376端口Docker daemon监听
wcy_1011的专栏
01-14 794
通过上述步骤,你可以在不同操作系统上配置 Docker daemon 监听 2375 和 2376 端口,并根据需要进行安全加固。
开启Docker daemon服务远程访问
一只奔跑的蚂蚁
11-18 7161
设置远程访问 docker daemon 服务
Docker 架构之Daemon
tomcat的专栏
09-22 7076
1.前言 Docker作为容器技术的集大成者,在对于学习文件管理,任务调度方面有着显而易见的范例性作用,剖析Docker的架构也是非常有意义的一件事情。Docker架构主要分为客户端和服务端,客户端复杂发起请求,服务端负责接受,解析和处理请求,对于服务端(Daemon)的剖析也是最为重要的。 2.Docker总体架构 Docker总体架构图如下: 用户使用Docker Client
docker daemon
KjfureOne的专栏
08-19 574
1.启动 $sudo docker run--name mydocker1 -d ubuntu:14.10 /bin/bash -c "while true;do echo hellodocker;sleep 1;done"   2.查看log $sudo docker logs-t mydocker1 $sudo docker logs--tail 10 -t mydocker1  
Docker开启远程访问的实现
09-30
主要介绍了Docker开启远程访问的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker Daemon
web18484626332的博客
04-18 3044
转自:Docker实战-Docker Daemon 一、修改Docker Daemon Docker DaemonDocker的守护进程,Docker Client通过命令行与Docker Damon通信,完成Docker相关操作 Docker Daemon有不同的修改方式:命令行修改,修改启动项,修改配置文件。其中仅仅只是研究或一次使用Docker Daemon的不同选项时,可以通过命令行的方式,此时Docker Daemon运行在前端,日志直接打印在终端上;当Docker Daemon的配置很稳定,不
SDK docker启动远程配置,远程访问
jiaona_chen123的博客
12-22 1572
SDK docker启动远程配置,远程访问 启动远程配置 情况一: 远程服务器为centos 在远程服务器上创建docker容器 本次使用SDK DOCKER for python 登录远程服务器,操作 /usr/lib/systemd/system/docker.service文件 ExecStart=/usr/bin/dockerd-current \ --add-runtime docker-runc=/usr/libexec/docker/docker-runc-curren
配置docker远程连接
Lsdplug的博客
10-19 5899
在部署服务的时候需要暴露docker的接口方便我们的程序调用,我们准备将docker的操作按照RESTful标准包装成网络API,docker自身提供了完善的remote API 我希望使用利用这个API来方便我远程的调试我的程序。
docker deamon
doctorone的博客
03-13 1080
一、修改Docker Daemon Docker DaemonDocker的守护进程,Docker Client通过命令行与Docker Damon通信,完成Docker相关操作 Docker Daemon有不同的修改方式:命令行修改,修改启动项,修改配置文件。其中仅仅只是研究或一次使用Docker Daemon的不同选项时,可以通过命令行的方式,此时Docker...
docker(1) 概念附加-Docker daemon 允许远程客户端请求
二哈欢乐多的博客
11-20 358
容器是一种轻量级、可移植、自包含的软件打包技术,使应用程序可以在几乎任何地方以相同的方式运行。开发人员在自己笔记本上创建并测试好的容器,无需任何修改就能够在生产系统的虚拟机、物理服务器或公有云主机上运行。 容器与虚拟机 两者都是为应用提供封装和隔离。 容器由两部分组成: 应用程序本身 依赖:比如应用程序需要的库或其他软件 容器在 Host 操作系统的用户空间中运行,与操作...
Configure and troubleshoot the Docker daemon
01-31
配置和排除Docker守护进程的故障是确保容器化应用正常运行的关键步骤。以下是一些基本的配置和故障排除方法: ### 配置Docker守护进程 1. **启动Docker服务**: - 在大多数Linux发行版上,可以使用以下命令启动Docker服务: ```sh sudo systemctl start docker ``` - 检查服务状态: ```sh sudo systemctl status docker ``` 2. **配置Docker守护进程**: - 配置文件通常位于`/etc/docker/daemon.json`或`/lib/systemd/system/docker.service`中。 - 可以通过修改这些文件来配置网络、存储驱动、日志选项等。例如: ```json { "storage-driver": "overlay2", "log-opts": { "max-size": "10m", "max-file": "3" } } ``` - 重启Docker服务以应用更改: ```sh sudo systemctl restart docker ``` 3. **设置远程访问**: - 默认情况下,Docker守护进程仅接受本地连接。要允许远程访问,可以绑定到TCP地址: ```json { "hosts": ["unix:///var/run/docker.sock", "tcp://0.0.0.0:2375"] } ``` - 注意:启用远程访问存在安全风险,建议使用TLS进行加密通信。 4. **配置TLS**: - 生成证书和私钥: ```sh mkdir -p /etc/docker/certs openssl req -newkey rsa:4096 -nodes -sha256 -days 365 -x509 -keyout /etc/docker/certs/server.key -out /etc/docker/certs/server.crt ``` - 在`daemon.json`中配置TLS: ```json { "hosts": ["unix:///var/run/docker.sock", "tcp://0.0.0.0:2376"], "tls": true, "tlsverify": true, "tlscacert": "/etc/docker/certs/ca.crt", "tlscert": "/etc/docker/certs/server.crt", "tlskey": "/etc/docker/certs/server.key" } ``` ### 故障排除 1. **检查日志文件**: - Docker守护进程的日志文件通常位于`/var/log/docker.log`或`/var/log/syslog`(取决于系统)。 - 通过查看日志文件可以找到详细的错误信息。 2. **验证Docker版本**: - 确保Docker守护进程和客户端版本匹配: ```sh docker --version ``` 3. **检查网络配置**: - 确认Docker网络插件配置正确,如bridge、overlay等。 - 使用`docker network ls`命令列出所有网络及其状态。 4. **资源限制**: - 确保系统有足够的资源(CPU、内存、磁盘空间)运行容器。 - 使用`docker stats`命令查看容器的资源使用情况。 5. **防火墙和SELinux**: - 确认防火墙没有阻止Docker所需的端口(如2375、2376)。 - 对于SELinux启用的系统,确保SELinux策略允许Docker操作: ```sh sudo setenforce 0 sudo getenforce ``` 6. **重启Docker服务**: - 在修改配置文件后,记得重启Docker服务以应用更改: ```sh sudo systemctl restart docker ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值