Docker 开启远程安全访问

于 2024-04-24 23:36:19 发布
阅读量1k 收藏 7
点赞数 6
文章标签: docker 安全 容器
本文为博主原创文章,未经博主允许不得转载。---by chen
本文链接:https://blog.csdn.net/qq_33637730/article/details/138172778
版权

说明

如果你的服务器是公网IP,并且开放了docker的远程访问,如果没有进行保护是非常危险的,任何人都可以向你的docker中推送镜像、运行实例。我曾开放过阿里云服务器中docker的远程访问权限,在没有开启保护的状态下,几小时内就被植入了挖矿程序,导致CPU的占用率一直在100%,最终只能将服务器重置。

接下来我们介绍一下如何利用CA证书,安全的开启Docker的远程,通过TLS进行加密访问。

本文适用于部署在公网的服务器(包括云服务器),安全的开启docker远程访问。本文并不适用于局域网或虚拟机的加密。

详细步骤

下面我们介绍一个如何配置CA证书

1、先创建一个目录存放ca私钥和公钥

mkdir -p /usr/local/ca

2、进入此目录 准备生成密钥

cd /usr/local/ca

3、生成RSA私钥

运行下面命令时,会提示输入密码,输入两次一致即可。

openssl genrsa -aes256 -out ca-key.pem 4096

4、以上面生成的RSA密钥创建证书

运行此命令后,会提示输入国家、省、市、组织名称、单位、邮箱等资料。

国家只能是两位,例如:CN,其他的随便填写即可。

openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem

5、生服务端的RSA私钥

openssl genrsa -out server-key.pem 4096

6、生成服务端的证书签名

/CN=服务器IP 此处配置你的服务器IP,这里只能是公网IP或域名!

openssl req -subj "/CN=服务器IP" -sha256 -new -key server-key.pem -out server.csr

7、配置白名单

DNS: 此处配置你的服务器IP,这里只能是公网IP或域名!

IP: 此处配置允许访问的IP,可以配置多个,以逗号间隔即可。此处也同样是支支持公网IP。如果允许任何携带证书的人访问,直接修改为0.0.0.0即可

echo subjectAltName = DNS:服务器域名,IP:0.0.0.0 >> extfile.cnf

注意这里如果用服务器ip,则要将DNS改为IP,既:

echo subjectAltName = IP:服务器IP,IP:0.0.0.0 >> extfile.cnf

8、为extfile.cnf追加属性

此属性用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

9、生成签名过的客户端证书

期间会要求输入密码,输入和上面一致即可

openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

10、生成客户端的RSA私钥

openssl genrsa -out key.pem 4096

11、生成client.csr

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

12、为extfile.cnf添加认证参数

echo extendedKeyUsage = clientAuth >> extfile.cnf

13、为extfile-client.cnf添加认证参数

echo extendedKeyUsage = clientAuth > extfile-client.cnf

14、生成签名证书

openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

15、删除无用的配置文件

rm -v client.csr server.csr extfile.cnf extfile-client.cnf

16、将服务端证书放到docker的目录

cp server-*.pem /etc/docker/

17、将服务端证书放到docker的目录

cp ca.pem /etc/docker/

18、修改docker配置文件

vi /lib/systemd/system/docker.service

19、替换ExecStart属性

ExecStart=/usr/bin/dockerd \
--tlsverify --tlscacert=/usr/local/ca/ca.pem \
--tlscert=/usr/local/ca/server-cert.pem \
--tlskey=/usr/local/ca/server-key.pem \
-H tcp://0.0.0.0:2375 \
-H unix:///var/run/docker.sock

20、更新配置文件并重启docker

systemctl daemon-reload && systemctl restart docker

21、对docker端口2375放行 如果是云服务器 需要在其管理页面中对应开启端口访问

firewall-cmd --zone=public --add-port=2375/tcp

22、测试

访问https://ip:2375/version,如果提示需要证书即标识配置成功

23、使用IDEA连接

将ca-key.pem、ca.pem、cert.pem、key.pem四个文件拷贝到要访问docker的客户端。

在IDEA中,将Engine API URL中的TCP协议修改为https

在IDEA的Certificates folder中配置拷贝了四个文件的目录 点击apply,出现Connection successful即为成功!

会飞的鱼__
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
Docker开启远程安全访问的图文教程详解
09-29
Docker开启远程安全访问教程】 Docker 是一个流行的开源容器化平台,它允许开发者打包应用和服务,并在任何地方运行。然而,默认情况下,Docker守护进程仅监听本地接口,不允许远程访问。本教程将详细解释如何...
如何开启Docker远程访问
sg_knight的专栏
08-13 1万+
本文为转载文章,主要介绍如何开启docker远程访问并通过idea进行远程操作。
Docker 配置远程访问
u010856284的博客
04-14 1884
首先编辑docker的宿主机文件/lib/systemd/system/docker.service。修改以ExecStart开头的行:(因为我的系统是centos 7的,所以修改为下面得)接下来测试一下看是否能连接到docker api。上面的2375就是对应端口。修改后保存文件,然后通知docker服务做出的修改。重启docker服务。
Docker容器的可视化管理工具—DockerUI本地部署与远程访问
小沈.的博客
12-10 9453
Docker容器的可视化管理工具—DockerUI本地部署与远程访问
Docker开启并配置远程安全访问_docker开启远程访问,2024年最新深入剖析原理
最新发布
2401_84165919的博客
04-09 2192
total 0total 4…++…++…++…++这里需要输入密码并确认,只要两次输入一致就行,否则会像重置密码数据两次新密码一样报验证错误。如果成功,该文件下就有了pem证书文件生成:total 4根据要求依次输入访问密码、国家、省、市、组织名称、单位名称、随便一个名字、邮箱等,需要这些信息作为证书申请。
如何开启Docker远程服务、并创建一个docker容器中执行docker远程服务,并且命令不用添加-H,用户无感知使用的是远程docker服务
奈斯菟咪踢呦
06-13 1848
工作中我们需要k8s集群中使用一些docker服务,或者是利用一个docker容器,做一些镜像的拉取、制作、上传。如果使用集群的docker,长时间回积累大量的废弃镜像,占用磁盘,导致集群无法正常使用。另一方面,用户可能利用docker做一些违规操作,直接把k8s集群服务搞挂。 为了避免以上问题,我们使用远程docker服务,这样让docker服务于集群完全脱离。制作一个docker服务镜像,远程连接到远程docker服务。按照如下配置 vim /lib/systemd/system/docker.ser
Docker开启远程访问的实现
09-30
主要介绍了Docker开启远程访问的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker 开启远程链接(2375端口)提供外部访问【附:Docker远程链接操作工具 for windows x64】
01-07
Docker 开启远程链接(2375端口)提供外部访问1. 登陆Docker所在服务器,编辑docker.service文件2. 利用Docker Client远程工具进行docker操作(无需登陆服务器)2.1 下载安装Dcoker远程链接工具3.软件声明 1. 登陆...
Docker安全开放远程访问连接权限
python15397的博客
07-10 4107
在执行脚本的过程中,会提示我们输入之前创建的证书和私钥的存放地址,我们必须填写正确的地址,否则会导致Docker服务无法读取证书和私钥。完全开放Docker对外访问权限有可能会遭到别人攻击,这是很不安全的,只要别人知道你的服务器地址就能够随意连接你的docker服务,而不需要任何认证,因此,完全开放只推荐自己在内网使用,不推荐在云服务器上直接完全开放。如果你的证书和私钥的存放地址是自己定义的地址,那么,你需要将 daemon.json 中的地址也相应的修改以下。三个参数即可,其他的什么都不用做。
Docker配置远程连接
08-20 1223
Docker基于CS(client-server)架构,Docker client简单来说就是执行`docker ps, docker image list`等命令的客户端,Docker daemon即运行在后台的dockerd进程,负责处理请求、运行、管理容器等工作,下图来自Docker官网,简单展示了Docker的架构。 Docker配置远程连接
Docker设置开启远程访问
鳄鱼儿
11-07 1593
通过IP验证,本机ip为http://192.168.1.17:2375/version。我本地存放docker.service文件的路径为。查找到docker.service文件存放路径。通过 curl 访问验证。
Docker开启远程访问的实现(Eclipse,VS code)
u014017003的博客
04-24 2395
前言: 当docker安装在Linux(虚拟机或者远程服务器)中,而Eclipse,VS code安装在本地的Window时可以使用以下配置方法,使得Eclipse,VS code可以远程访问docker,以制作image,start/stop contariner等操作。 配置Linux: 1.输入命令:vim /usr/lib/systemd/system/docker.service 2.找到ExecStart修改为: ExecStart=/usr/bin/dockerd -H tcp:/
Docker配置远程访问
lymboy的博客
05-02 4271
欢迎关注笔者的微信公众号 前言 通常我们使用docker 都是在服务器端pull镜像然后根据镜像创建容器。对于自开发的应用,如果想要将其创建为docker镜像一般需要将应用编译打包后编写Dockerfile文件使用docker build命令构建成docker镜像。对于每次的版本升级和功能迭代都需要重复这些步骤,因此最好将这些操作流程化和自动化。 可以对docker进行相关配置,客户端可远程docker服务进行操作。 If you need to access the Docker daemon
docker远程访问
lvbibir的博客
08-10 158
文章目录环境准备修改daemon.json配置文件,添加label,用于区别两台docker主机修改Client与守护进程通信的方式(修改为tcp的方式)远程访问 实现docker客户端与另一台主机上的docker守护进程进行通信 环境准备 主机版本为Centos7.4,docker版本为docker-ce-18.09.7-3.el7.x86_64 node1:192.168.0.111 node...
Centos7中docker开启远程访问(Centos7 docker remote access configure)
热门推荐
志远的博客
07-24 2万+
首先,centos中docker的配置不同于ubuntu,在centos中没有/etc/default/docker,另外在centos7中也没有找到/etc/sysconfig/docke这个配置文件。 参考了网上的文章,配置好了centos7的docker远程访问,配置过程如下。 在作为docker远程服务的centos7机器中配置: 1、在/usr/lib/systemd/sy
Docker如何开启远程访问,实现api远程管理?其实只需要改一个地方即可
坐公交也用券
06-17 4542
一、适用范围 Docker远程访问主要用于Python,Java等调用远程api进行管理,例如适用Python编写一个Dcoker管理器。 二、实现方法 在了解实现方法之前,先简单了解一下Dcoekr的基本概念。 Docker 架构 Docker使用了C/S体系架构,Docker客户端与Docker守护进程通信,Docker守护进程负责构建,运行和分发Docker容器Docker客户端和守护进程可以在同一个系统上运行,也可以将Docker客户端连接到远程Docker守护进程。 Docker
docker配置远程连接
Dream It Possible
07-09 4259
在centos7上配置docker daemon的远程访问 查看帮助文档可以看到docker支持三种方式的通信,unix,tcp,fd -H, –host=[unix:///var/run/docker.sock]: tcp://[host]:[port][path] to bind or unix://[/path/to/socket] to use. The soc
怎么配置 docker 远程访问
qq_16069927的博客
07-16 535
介绍 最近的项目中涉及到监控远程主机上的 Docker 容器的运行状况,即通过本地 docker 客户端访问远程主机的 docker 服务端,以此来监控远程主机上的 Docker 容器。但是 Docker Daemon 默认情况下是只允许本地访问的,不允许远程访问。本文将首先介绍 Docker Daemon 的连接方式,然后说明如何配置远程访问Docker Daemon 的连接方式 UNIX 域套接字 默认就是这种方式, 会生成一个 /var/run/docker.sock 文件, UNIX .
Docker开启远程安全访问
07-28
开启Docker远程安全访问,需要进行以下步骤: 1. 首先,需要修改Docker守护进程的配置文件。根据引用\[2\]中的内容,可以通过修改ExecStart属性值来实现。在ExecStart属性值中添加`--tlsverify`参数来启用TLS验证,`--tlscacert`参数指定TLS CA证书的路径,`--tlscert`参数指定TLS证书的路径,`--tlskey`参数指定TLS私钥的路径,`-H tcp://0.0.0.0:2375`参数指定Docker守护进程监听的远程访问端口。这样就可以开启Docker远程安全访问。 2. 接下来,需要重新加载Docker守护进程的配置文件,以使修改生效。可以使用以下命令来重新加载配置文件:`sudo systemctl daemon-reload`。 3. 最后,重新启动Docker守护进程,使修改的配置生效。可以使用以下命令来重新启动Docker守护进程:`sudo systemctl restart docker`。 这样,Docker开启远程安全访问,可以通过指定TLS证书和私钥来进行安全远程通信。 #### 引用[.reference_title] - *1* *3* [Docker开启并配置远程安全访问](https://blog.csdn.net/qq_42263280/article/details/130116495)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Docker开放远程安全访问开启2376端口和CA认证)](https://blog.csdn.net/guochengabcd/article/details/126284964)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值