Portainer.io安装并配置Docker远程访问及CA证书

原创 于 2025-01-14 18:31:44 发布 · 2k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #容器 #运维

Portainer.io安装并配置Docker远程访问及CA证书


文章目录

一.安装 Portainer.io

version: '3.3'
services:
  portainer:
    image: portainer/portainer-ce:latest
    container_name: portainer
    ports:
      - "8000:8000"
      - "9443:9443"
      - "9000:9000"
    restart: always
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./portainer_data:/data
2.启动容器
docker-compose up -d

查看是否启动成功

docker ps -a | grep portainer

image-20240620103924858

查看日志

docker logs -f portainer

image-20240620104856162

在浏览器输入我们部署服务的ip:port 访问服务,第一次访问需要设置管理员密码。

访问地址:http://<your ip>:9000

登陆之后就是这样

image-20240620105015316

二.docker API远程访问并配置CA安全认证

1.配置安全(密钥)访问

创建CA私钥和CA公钥
创建一个ca文件夹用来存放私钥跟公钥

mkdir -p /usr/local/ca
cd /usr/local/ca

在Docker本机,生成CA私钥和公钥

openssl genrsa -aes256 -out ca-key.pem 4096

执行上述指令,会输入密码。此密码需记住,后面的步骤也需要。

image-20240620112406300

可以看到已经生成ca-key.pem证书文件

image-20240620112554479

2.补全CA证书信息
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

不切换目录,继续执行上述指令,会要求录入信息。

#输入上一步设置的密码
Enter pass phrase for ca-key.pem:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
# 国家:CN
Country Name (2 letter code) [XX]: CN
# 省份: 可以不填,直接回车
State or Province Name (full name) []:
# 地市:可以不填,直接回车
Locality Name (eg, city) [Default City]:
# 公司: 可以不填,直接回车
Organization Name (eg, company) [Default Company Ltd]:
# 组织: 可以不填,直接回车
Organizational Unit Name (eg, section) []:
# 服务器地址或域名,按要求填写
Common Name (eg, your name or your server's hostname) []:  <主机IP>
# 邮箱联系方式,可以不填,直接回车
Email Address []:

到这一步CA证书就创建完成了,还需要去创建服务器密钥和证书签名请求(CSR),确保“通用名称”与Docker时使用的主机名相匹配。

3.生成server-key.pem
openssl genrsa -out server-key.pem 4096
4.创建服务端签名请求证书文件
openssl req -subj "/CN=$<主机ip>" -sha256 -new -key server-key.pem -out server.csr
5.创建服务端扩展配置文件 extfile.cnf
echo "subjectAltName = IP:$<主机ip>,IP:0.0.0.0" > extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf
6.创建签名生效的服务端证书文件

输入之前的密码

openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

image-20240620115930339

7.创建客户端私钥
openssl genrsa -out key.pem 4096
8.创建客户端签名请求证书文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
7.创建客户端扩展配置文件 extfile-client.cnf
echo "extendedKeyUsage = clientAuth" > extfile-client.cnf
8.创建签名生效的客户端证书文件
openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

输入密码。

9.删除临时文件
rm -f client.csr server.csr extfile.cnf extfile-client.cnf
10.设置文件权限
chmod 0400 ca-key.pem key.pem server-key.pem
chmod 0444 ca.pem server-cert.pem cert.pem
11.配置docker服务端

修改vim /lib/systemd/system/docker.service文件中的ExecStart这一行,如下:

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/usr/local/ca-new-1/ca.pem --tlscert=/usr/local/ca-new-1/server-cert.pem --tlskey=/usr/local/ca-new-1/server-key.pem  -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --containerd=/run/containerd/containerd.sock

其中/usr/local/ca-new-1/是刚才生产证书的目录。

修改之后重启docker服务

#重启
systemctl daemon-reload && systemctl restart docker

三.Portainer配置使用客户端证书

访问Portainer.io

image-20240622141105867

image-20240622141123973

image-20240622141220870

此处的Docker API URL是二.11步骤中的,-H tcp://0.0.0.0:2375这一段代码配置的端口号,ip则是主机IP。

然后需要从服务器上下载生成的ca文件。

-r--r--r--  1 root root 1952 Jun 20 11:11 ca.pem
-r--r--r--  1 root root 1883 Jun 20 11:12 cert.pem
-r--------  1 root root 3268 Jun 20 11:12 key.pem

然后依次对应上图配置中的

image-20240622141525548

配好之后点击如下按钮

image-20240622141630013

显示连接成功则表示已经配好,然后就可以在Portainer中看到目标主机的docker信息了

image-20240622141934836

以下是一个快速生成ca证书的脚本

#!/bin/sh

ip="<your ip>"
password="123456"
dir="/usr/local/ca-new-1" # 证书生成位置
validity_period=3650    # 证书有效期10年,单位是天

# 如果目录不存在则创建目录,否则删除重建
if [ ! -d "$dir" ]; then
  echo "$dir 不存在,将创建目录"
  mkdir -p $dir
else
  echo "$dir 存在,将删除并重建"
  rm -rf $dir
  mkdir -p $dir
fi

cd $dir || exit

# 1. 创建根证书 RSA 私钥
openssl genrsa -aes256 -passout pass:"$password" -out ca-key.pem 4096

# 2. 创建 CA 证书
openssl req -new -x509 -days $validity_period -key ca-key.pem -passin pass:"$password" -sha256 -out ca.pem -subj "/C=NL/ST=./L=./O=./CN=$ip"

# 3. 创建服务端私钥
openssl genrsa -out server-key.pem 4096

# 4. 创建服务端签名请求证书文件
openssl req -subj "/CN=$ip" -sha256 -new -key server-key.pem -out server.csr

# 创建服务端扩展配置文件 extfile.cnf
echo "subjectAltName = IP:$ip,IP:0.0.0.0" > extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

# 5. 创建签名生效的服务端证书文件
openssl x509 -req -days $validity_period -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out server-cert.pem -extfile extfile.cnf

# 6. 创建客户端私钥
openssl genrsa -out key.pem 4096

# 7. 创建客户端签名请求证书文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

# 创建客户端扩展配置文件 extfile-client.cnf
echo "extendedKeyUsage = clientAuth" > extfile-client.cnf

# 8. 创建签名生效的客户端证书文件
openssl x509 -req -days $validity_period -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out cert.pem -extfile extfile-client.cnf

# 删除临时文件
rm -f client.csr server.csr extfile.cnf extfile-client.cnf

# 设置文件权限
chmod 0400 ca-key.pem key.pem server-key.pem
chmod 0444 ca.pem server-cert.pem cert.pem

echo "证书生成完成"

Docker安装和卸载(centos)
Ubuntu安装指定版本Docker

配置 Docker 镜像和远程访问
10-05 1557
修改/etc/sysconfig/docker文件,在最后增加一行DOCKER_OPTS修改/usr/lib/systemd/system/docker.service 在[Service]的ExexStart=下面增加一行$DOCKER_OPTS[Unit][Service][Install]重启 docker
linux 上安装portainer.io
一种感觉的博客
08-09 3560
linux 上安装portainer.io1.portainer.io是什么?2.安装,运行镜像3.登陆 1.portainer.io是什么? Portainer是一个轻量级的Docker环境管理UI,可以管理docker host和docker swarm(我主要看中了能管理swarm这个,毕竟市面上能管理swarm的平台不多)。之所以说是轻量级的,是因为部署只有一个container,也可以使用二进制程序直接部署,不像rancher的部署,部署了一大堆container,而且portainer是跨平台的
Ubuntu18.04安装portainer.io
会者定离,一期一祈
11-25 1054
portainer.io是什么? Portainer是一个轻量级的Docker环境管理UI,可以管理docker host和docker swarm。 之所以说是轻量级的,是因为部署只有一个container,也可以使用二进制程序直接部署,不像rancher的部署,部署了一大堆container。 portainer是跨平台的,windows和linux都可以部署 1.搜索镜像 docker search portainer 2.拉取镜像 docker pull portainer/portainer
可视化容器管理工具-portainer.io使用
Awesome Computer Vision, 做计算机视觉的程序员
07-04 876
docker日常使用指南当我们开始使用docker后,我们的机器上镜像和容器会越来越多,或者有时候我们有多台开发机的时候,单纯使用命令行去管理镜像和容器就变得麻烦了,这时,我们就可以选择一些可视化的容器管理工具来保护我们为数不多的头发了。portainer.io就是这方面的一个不错的选择,它有社区版和商业版,质量相对有保证,对于我们个人,使用社区版足矣。portainer.io安装很容易,可以直接用docker启动: 使用 浏览器输入https://ip:9443即可打开管理页面,首次打开输入用户和密码。
docker管理工具 portainer.io安装与应用
波波日常工作学习的笔记本
01-03 858
选择local时,下面会提示如下:说明需要再启动时,添加 -v "/var/run/docker.sock:/var/run/docker.sock",在前面启动语句中就有。#对于日常取证工作中来说,我个人认为遇到一些项目部署在docke中,使用这个工具来管理也好,查看也好,可以更加直观的看到当前运行的这些容器,能够更好更高效的取证与管理#docker pull 6053537/portainer-ce(汉化)进入界面 ,http://ip:9000进入,拉取portainer.io(汉化)
Docker可视化容器监控工具portainer.iodocker监控docker)(Docker Standalone、Docker Swarm、Kubernetes、ACI、Nomad)监控容器
Dontla的博客
08-10 9681
通过使用"Stacks"界面,可以方便地管理和部署多个相关的服务和容器,实现应用程序的整体部署和管理。portainer支持添加不同的环境,如图所示,下面分别介绍不同环境的功能。这些环境之间的区别主要体现在功能和适用场景上。Docker Standalone适用于单个主机上的容器管理,Docker Swarm适用于小规模集群,Kubernetes适用于大规模集群,ACI适用于云平台上的容器服务,Nomad适用于多个主机上的容器编排和调度。
在Ubuntu 22.04上安装Docker配置MySQL镜像服务做到局域网访问
weixin_47937828的博客
08-11 3509
在Ubuntu22.04上安装Docker配置Mysql镜像服务,可以通过局域网访问Mysql服务。最近在实验室服务器上与这个搏斗了很久,感觉网上教程很多都过时了,就想着自己写一篇出来得了
docker build 命令超时的问题
NLP与推荐算法
09-02 1303
docker镜像源
Harbor企业docker私服安装及SSL安全访问配置
ningkangming的博客
07-10 1586
详细介绍harbor docker私服的搭建及SSL安全访问配置
Docker之二二:Docker 图形化管理工具 Portainer
wzfgd的博客
03-29 699
Docker 图形化管理工具 Portainer 安装配置
CentOS-7安装Docker管理图像工具portainer.io
Longines____的博客
10-18 1205
Portainer.io介绍 PortainerDocker的图形化管理工具,提供状态显示面板、应用模板快速部署、容器镜像网络数据卷的基本操作(包括上传下载镜像,创建容器等操作)、事件日志显示、容器控制台操作、Swarm集群和服务等集中管理和操作、登录用户管理和控制等功能。功能十分全面,基本能满足中小型单位对容器管理的全部需求。 下载Portainer镜像 1、查询当前有哪些Portainer...
使用docker安装portainer.io
m0_66257867的博客
07-29 531
2.docker container rm -f portainerportainer指的是容器名称)1.查看正在运行的容器docker container ls 或者 docker ps,获取对应的name。打开浏览器:ip:端口,就可以访问了。如果启动失败,显示名字已经存在,则。安装docker的前提下。
Portainer.io
云满笔记
08-03 1333
随着 Docker 的使用量越来越大,监控 Docker 容器正在变得更有挑战性。每天都有大量的 Docker 容器被创建,因此如何监控它们就变得非常重要。目前已经有一些内置的工具和技术,不过对它们进行配置有一些复杂。随着基于微服务的架构正在变成接下来事实上的标准,学会这种技术将为你的知识库再添一项新技能。(最新版本是 1.20.2)非常轻量,只需 2-3 个命令就可以配置好,已经在 Docker 用户中流行起来。基于上述场景,对一种轻量、健壮的镜像管理工具的需求日益增加。......
docker portainer_docker随手笔记第十一节 portainer.io安装使用,比k8s简单
weixin_39674190的博客
11-27 3192
docker随手笔记第一节 docker概念及安装docker随手笔记第二节 docker常用命令解析docker随手笔记第三节 docker构建java镜像docker随手笔记第四节 docker安装mysql5.7docker随手笔记第五节 docker安装redis4.0docker随手笔记第六节 docker安装jenkinsdocker随手笔记第七节 jenkins通过git部署java...
Portainer安装
恨_别离的博客
11-04 6327
portainer
Portainer安装/快速上手
市民景先生
02-18 1044
前置:官网管理docker容器的工具。
Docker管理利器portainer.io安装和使用
king0502的专栏
11-12 665
Docker Engine - Community 是希望开始使用 Docker 尝试基于容器的应用程序的个人开发人员和小型团队的理想选择。参考:https://www.runoob.com/docker/centos-docker-install.html。参考:https://blog.csdn.net/wht88888/article/details/127880405。参考:https://baijiahao.baidu.com/s?
Docker容器管理工具portainer.io
眼前一座山,踏平它
04-27 901
docker run -d -p 8000:8000 -p 9000:9000 --name=portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v /data/docker/volumes/portainer:/data portainer/portainer-ce
portainer添加远程docker
m0_48942229的博客
03-13 1067
1、本机安装docker后,安装 portainer ,访问IP+9000端口。2、远程主机 安装 portainer/agent。3、查看 都 正常运行后,1,2顺序点击。
ubuntu 安装docker ui界面远程访问
最新发布
02-15
### 安装 Docker 配置远程访问 #### 准备工作 为了在 Ubuntu 上安装 Docker 设置图形化界面以支持远程访问,需先更新系统软件包列表确保拥有必要的依赖项。 ```bash sudo apt-get update && sudo apt-get upgrade -y ``` #### 安装 Docker CE 和 Docker Compose 按照官方推荐的方式安装 Docker 社区版 (CE),这通常是最稳定的选择之一[^2]: 1. **移除旧版本** ```bash sudo apt remove docker docker-engine docker.io containerd runc ``` 2. **安装必要组件** ```bash sudo apt-get install \ ca-certificates \ curl \ gnupg \ lsb-release ``` 3. **添加 Docker 的官方 GPG 密钥** ```bash curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg ``` 4. **设置稳定的仓库源** ```bash echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null ``` 5. **再次更新索引** ```bash sudo apt-get update ``` 6. **正式安装 Docker Engine** ```bash sudo apt-get install docker-ce docker-ce-cli containerd.io ``` 7. **验证安装成功与否** ```bash sudo docker run hello-world ``` 8. **安装 Docker Compose** 对于多容器应用来说非常有用。 ```bash sudo curl -L "https://github.com/docker/compose/releases/download/$(curl -s https://api.github.com/repos/docker/compose/releases/latest | grep 'tag_name' | cut -d '"' -f 4)/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose sudo chmod +x /usr/local/bin/docker-compose ``` 9. **启动服务设为开机自启** ```bash sudo systemctl start docker sudo systemctl enable docker ``` #### 设置 Docker 图形化界面 目前没有官方提供的独立 Docker GUI 应用程序适用于 Linux 发行版。不过有第三方开发的应用如 Portainer 或者 Kitematic 可供选择。这里介绍使用 Portainer 来作为 Docker 的 Web 界面管理工具。 ##### 使用 Portainer 创建 Web UI 接口 Portainer 是一款轻量级的开源解决方案,能够帮助管理员轻松管理和监控多个 Docker 主机环境。 1. **拉取镜像** ```bash sudo docker pull portainer/portainer-ce:latest ``` 2. **创建持久卷存储数据** ```bash sudo mkdir -p /var/lib/portainer/data/ ``` 3. **运行容器实例** ```bash sudo docker run -d -p 9000:9000 --name=portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v /var/lib/portainer/data/:/data portainer/portainer-ce ``` 此时应该可以通过浏览器访问 `http://<your_server_ip>:9000` 访问到 Portainer 登录页面了。 #### 开放防火墙端口以便外部连接 为了让其他设备能通过网络访问本地主机上的 Docker API 或者上述提到的服务端口,则需要开放相应的 TCP/IP 协议下的特定端口号给外界通信。 假设要让所有人可以无阻碍地访问刚才部署好的 Portainer 实例的话,在终端执行如下命令来打开对应端口的安全策略: ```bash sudo ufw allow 9000/tcp comment 'Allow Portainer' ``` 如果之前已经激活过 UFW(Uncomplicated Firewall), 则记得重启它使更改生效;如果没有开启则可以直接启用该功能. 最后一步就是确认服务器 IP 地址是否正确指向公网地址或者是内网可被寻址的位置上,这样才能保证远端机器顺利连入目标站点完成后续操作流程。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值