Portainer.io安装并配置Docker远程访问及CA证书

于 2024-06-22 14:33:14 发布
阅读量767 收藏 18
点赞数 18
分类专栏: Linux运维 DevOps运维 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43479188/article/details/139882275
版权

Portainer.io安装并配置Docker远程访问及CA证书

文章目录

一.安装 Portainer.io

version: '3.3'
services:
  portainer:
    image: portainer/portainer-ce:latest
    container_name: portainer
    ports:
      - "8000:8000"
      - "9443:9443"
      - "9000:9000"
    restart: always
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./portainer_data:/data
2.启动容器
docker-compose up -d

查看是否启动成功

docker ps -a | grep portainer

image-20240620103924858

查看日志

docker logs -f portainer

image-20240620104856162

在浏览器输入我们部署服务的ip:port 访问服务,第一次访问需要设置管理员密码。

访问地址:http://<your ip>:9000

登陆之后就是这样

image-20240620105015316

二.docker API远程访问并配置CA安全认证

1.配置安全(密钥)访问

创建CA私钥和CA公钥
创建一个ca文件夹用来存放私钥跟公钥

mkdir -p /usr/local/ca
cd /usr/local/ca

在Docker本机,生成CA私钥和公钥

openssl genrsa -aes256 -out ca-key.pem 4096

执行上述指令,会输入密码。此密码需记住,后面的步骤也需要。

image-20240620112406300

可以看到已经生成ca-key.pem证书文件

image-20240620112554479

2.补全CA证书信息
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

不切换目录,继续执行上述指令,会要求录入信息。

#输入上一步设置的密码
Enter pass phrase for ca-key.pem:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
# 国家:CN
Country Name (2 letter code) [XX]: CN
# 省份: 可以不填,直接回车
State or Province Name (full name) []:
# 地市:可以不填,直接回车
Locality Name (eg, city) [Default City]:
# 公司: 可以不填,直接回车
Organization Name (eg, company) [Default Company Ltd]:
# 组织: 可以不填,直接回车
Organizational Unit Name (eg, section) []:
# 服务器地址或域名,按要求填写
Common Name (eg, your name or your server's hostname) []:  <主机IP>
# 邮箱联系方式,可以不填,直接回车
Email Address []:

到这一步CA证书就创建完成了,还需要去创建服务器密钥和证书签名请求(CSR),确保“通用名称”与Docker时使用的主机名相匹配。

3.生成server-key.pem
openssl genrsa -out server-key.pem 4096
4.创建服务端签名请求证书文件
openssl req -subj "/CN=$<主机ip>" -sha256 -new -key server-key.pem -out server.csr
5.创建服务端扩展配置文件 extfile.cnf
echo "subjectAltName = IP:$<主机ip>,IP:0.0.0.0" > extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf
6.创建签名生效的服务端证书文件

输入之前的密码

openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

image-20240620115930339

7.创建客户端私钥
openssl genrsa -out key.pem 4096
8.创建客户端签名请求证书文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
7.创建客户端扩展配置文件 extfile-client.cnf
echo "extendedKeyUsage = clientAuth" > extfile-client.cnf
8.创建签名生效的客户端证书文件
openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

输入密码。

9.删除临时文件
rm -f client.csr server.csr extfile.cnf extfile-client.cnf
10.设置文件权限
chmod 0400 ca-key.pem key.pem server-key.pem
chmod 0444 ca.pem server-cert.pem cert.pem
11.配置docker服务端

修改vim /lib/systemd/system/docker.service文件中的ExecStart这一行,如下:

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/usr/local/ca-new-1/ca.pem --tlscert=/usr/local/ca-new-1/server-cert.pem --tlskey=/usr/local/ca-new-1/server-key.pem  -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --containerd=/run/containerd/containerd.sock

其中/usr/local/ca-new-1/是刚才生产证书的目录。

修改之后重启docker服务

#重启
systemctl daemon-reload && systemctl restart docker

三.Portainer配置使用客户端证书

访问Portainer.io

image-20240622141105867

image-20240622141123973

image-20240622141220870

此处的Docker API URL是二.11步骤中的,-H tcp://0.0.0.0:2375这一段代码配置的端口号,ip则是主机IP。

然后需要从服务器上下载生成的ca文件。

-r--r--r--  1 root root 1952 Jun 20 11:11 ca.pem
-r--r--r--  1 root root 1883 Jun 20 11:12 cert.pem
-r--------  1 root root 3268 Jun 20 11:12 key.pem

然后依次对应上图配置中的

image-20240622141525548

配好之后点击如下按钮

image-20240622141630013

显示连接成功则表示已经配好,然后就可以在Portainer中看到目标主机的docker信息了

image-20240622141934836

以下是一个快速生成ca证书的脚本

#!/bin/sh

ip="<your ip>"
password="123456"
dir="/usr/local/ca-new-1" # 证书生成位置
validity_period=3650    # 证书有效期10年,单位是天

# 如果目录不存在则创建目录,否则删除重建
if [ ! -d "$dir" ]; then
  echo "$dir 不存在,将创建目录"
  mkdir -p $dir
else
  echo "$dir 存在,将删除并重建"
  rm -rf $dir
  mkdir -p $dir
fi

cd $dir || exit

# 1. 创建根证书 RSA 私钥
openssl genrsa -aes256 -passout pass:"$password" -out ca-key.pem 4096

# 2. 创建 CA 证书
openssl req -new -x509 -days $validity_period -key ca-key.pem -passin pass:"$password" -sha256 -out ca.pem -subj "/C=NL/ST=./L=./O=./CN=$ip"

# 3. 创建服务端私钥
openssl genrsa -out server-key.pem 4096

# 4. 创建服务端签名请求证书文件
openssl req -subj "/CN=$ip" -sha256 -new -key server-key.pem -out server.csr

# 创建服务端扩展配置文件 extfile.cnf
echo "subjectAltName = IP:$ip,IP:0.0.0.0" > extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

# 5. 创建签名生效的服务端证书文件
openssl x509 -req -days $validity_period -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out server-cert.pem -extfile extfile.cnf

# 6. 创建客户端私钥
openssl genrsa -out key.pem 4096

# 7. 创建客户端签名请求证书文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

# 创建客户端扩展配置文件 extfile-client.cnf
echo "extendedKeyUsage = clientAuth" > extfile-client.cnf

# 8. 创建签名生效的客户端证书文件
openssl x509 -req -days $validity_period -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out cert.pem -extfile extfile-client.cnf

# 删除临时文件
rm -f client.csr server.csr extfile.cnf extfile-client.cnf

# 设置文件权限
chmod 0400 ca-key.pem key.pem server-key.pem
chmod 0444 ca.pem server-cert.pem cert.pem

echo "证书生成完成"
ζั͡山 ั͡有扶苏 ั͡✾
关注
  • 18
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2024年网络安全最新【docker系列】docker API管理接口增加CA安全认证,2024年最新学海无涯
05-12 267
正常情况下CA机构有自己的私钥,因为我们是模拟CA机构,所以这个私钥需要我们自己创建。执行下文中的命令,输入2次密码(密码务必记住,后文中需要使用),执行完命令之后,当前目录下生成一个ca-key.pem文件(上图中红色背景代表)。该命令用于创建机构CA证书,执行该命令首先会提示输入。正常请开给你下,该流程是某公司向CA提机构提交自己公司的相关信息,CA授权机构根据这些信息(审核信息之后)生成一个用于该公司的CA证书(该公司范围的根证书)。
2024全国职业技能大赛-网络安全赛题解析总结⑤(超详细)_全国网络安全行业职业技能大赛(1)
2401_84253132的博客
05-05 863
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
【云原生】Docker 安全CA证书生成
xnxqwzy的博客
03-26 1091
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
云原生之容器管理工具Portainer
鬓戈
02-19 1632
Portainer是一款开源的容器管理工具系统,通过提供一个直观的Web界面,帮助我们轻松地创建、管理和维护容器,同时也提供实用工具供我们自动化操作使用,还提供API接口供我们进行二次开发管理。
docker registry 搭建流程(含CA认证)
我是xxxx
12-12 2138
docker registry 搭建(含CA认证) 环境说明 终端 操作系统 其他 服务端 Centos7 IP:10.192.3.230 客户端A boot2docker IP:192.168.99.100 服务端配置 安装docker yum install -y docker-io 下载docker re
docker-draw.io:基于tomcat的Docker化draw.io
05-05
在此存储库中: draw.io docker映像始终与draw.io版本保持最新draw.io导出服务器图像,该图像允许将draw.io图导出为pdf和图像docker-compose使用导出服务器运行draw.io docker-compose运行集成在nextcloud中的draw....
在ubuntu22.04上安装配置docker
最新发布
06-21
在ubuntu22.04上安装配置docker,包含最新版以及指定版本docker安装
Docker.v19安装配置Docker Compose编排工具的方法
09-29
主要介绍了安装Docker.v19和配置Docker Compose编排工具的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
gcr.io镜像:gcr.io的kubernetes docker镜像
02-19
docker的gcr.io映像同步到您的私有注册表/ dockerhub。 同步命名空间 用法 您可以使用此脚本将gcr.io的名称空间同步为所需的名称。 分叉这个项目 获取Google Cloud Public images注册表的cookie 并导出为env GCR_...
docker-images:图片由Portainer.io提供
05-26
Docker映像Portainer Docker映像。
docker基础(21):配置CA证书远程发布项目
不积跬步,无以至千里
03-22 1610
如果你没有docker远程发布的经验,建议先查看简单的发布方式 docker基础(15):idea插件远程发布项目 文章目录概述操作流程配置证书&开启远程端口2测试配置idea 概述 生产环境禁止将docker远程发布端口无密钥的暴露到公网,否则分分变成矿机。 #编辑/lib/systemd/system/docker.service vim /lib/systemd/system/docker.service #开启远程(不要在公网这么干) ExecStart=/usr/bin/dockerd -
Docker配置CA证书远程访问
Oscrazy的博客
01-22 1998
说明 我遇到过一个坑,为了方便远程管理docker,开放了所有IP对2375端口开放,这样是非常危险的,黑客很容易就能通过端口号进入你的容器,并且无需密码就能获取管理员权限,能对docker发送指令 下面开始快速生成CA证书 1.首先再任意目录创建一个脚本文件,比如叫autogen.sh touch autogen.sh vim autogen.sh 编辑内容如下面,根据提示修改[BEGIN]~[END]的内容 IP是必须修改的,其他选改 #!/bin/bash # ------------------
docker login CA认证问题/添加自签发的 SSL 证书为受信任的根证书
热门推荐
xiaolummhae的专栏
07-06 1万+
[root@centos-master root]# docker login -u admin -p admin -e xiaolumm@126.com https://zq.reg32.com/v2/ FATA[0000] Error response from daemon: invalid registry endpoint https://zq.reg32.jd
docker配置ca证书
无bug不人生
07-12 2053
参考 脚本 ca证书生成脚本 #!/bin/bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- # config # --[BEGIN]------------------------------ # 代码,可以随便写 CODE="WRETCHANT"
以HTTPS的方式运行docker
wenwenxiong的专栏
11-30 6350
以HTTPS的方式运行docker保护Docker daemon socket默认情况下,Docker以一种无网络的Unix socket方式运行。也可以通过选项设置使用HTTPsocket。如果需要通过网络以一种安全的方式访问Docker,可以通过tlsverify标签来允许TLS,使用tlscacert标签指定可信的CA证书。在后台守护模式中,仅运行通过CA签名的证书的客户端连接访问。在客户端模
Docker使用CA认证
AnblackCat的学习笔记
02-03 2416
在idea中一键部署项目到DockerCA认证 不使用 CA 认证的方法在 这里 本文直接开始介绍使用 CA 认证远程连接 docker,不使用 CA 认证也行,在自己的虚拟机里面可以这么干,但是放到联网的服务器上就不建议这么做了,原因是,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的(笔者就是被当成了矿机的一例QwQ)。因此,docker官方...
docker安装ca证书
qq_40250122的博客
08-08 7912
一、Docker CA认证 使用idea+docker部署一时爽, 结果服务器由于2375端口被黑, 服务器变成了别人的打工仔, 防止服务器变成别人的挖矿专员,这时候就必须要配置dockerca证书 官方例子 1、创建ca文件夹,存放CA私钥和公钥 [root@localhost ~]# mkdir -p /usr/local/ca [root@localhost ~]# cd /usr/loc...
在idea中一键部署项目到DockerCA认证
做一个善良的码农
10-18 8259
修改服务器配置 [root@localhost ~]# vim /usr/lib/systemd/system/docker.service 将ExecStart属性value值改为 /usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock 重启docker [root@localhost ~]# systemct...
portainer.io
09-05
Portainer.io 是一个开源的轻量级容器管理平台,它提供了一个直观的用户界面,使用户可以轻松地管理和监控他们的 Docker 容器环境。通过 Portainer.io,用户可以进行容器的创建、启动、停止、删除等操作,还可以查看容器的日志、资源使用情况和网络配置等信息。它支持多种容器编排引擎,包括 Docker Swarm 和 Kubernetes,并且提供了一些高级功能,如用户和权限管理、应用模板和扩展插件等。总之,Portainer.io 可以帮助用户简化容器管理和操作,提高工作效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值