docker daemon的HTTP socket TLS加密连接

最新推荐文章于 2023-02-13 00:04:42 发布
最新推荐文章于 2023-02-13 00:04:42 发布
阅读量179 收藏
点赞数
文章标签: 运维 网络 python
原文链接:https://my.oschina.net/hippora/blog/682924
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

默认docker daemon是通过非网络的unix socket监听客户端连接的.如果我们需要客户端通过网络来安全的连接到docker daemon,则因该配置TLS加密方式,通过http的方式来连接.

使用openssl来创建ca证书,并签发密钥.

[root@srv00 ~]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.........................................................................................................................................................................++
........................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
[root@srv00 ~]# openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Shanghai
Locality Name (eg, city) [Default City]:Shanghai
Organization Name (eg, company) [Default Company Ltd]:docker
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:srv00
Email Address []:h@xxx.com

ca证书颁发好.可以申请证书签名请求(CSR)了,注意common name填主机名

服务端证书:

[root@srv00 ~]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.........................................++
..................................................................++
e is 65537 (0x10001)
[root@srv00 ~]# openssl req -subj "/CN=srv00" -sha256 -new -key server-key.pem -out server.csr
[root@srv00 ~]# echo subjectAltName = IP:192.168.1.80,IP:127.0.0.1 > extfile.cnf           
[root@srv00 ~]# openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=srv00
Getting CA Private Key
Enter pass phrase for ca-key.pem:

客户端证书:

[root@srv00 ~]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
............................................................++
..............................................................................................................................................................++
e is 65537 (0x10001)
[root@srv00 ~]# openssl req -subj '/CN=client' -new -key key.pem -out client.csr
[root@srv00 ~]# echo extendedKeyUsage = clientAuth > extfile.cnf
[root@srv00 ~]# openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

CSR 没用可以删了

[root@srv00 ~]# rm -rfv client.csr server.csr 
removed ‘client.csr’
removed ‘server.csr’

安装证书

[root@srv00 ~]# chmod 400 *.pem <==收紧权限
[root@srv00 ~]# mkdir /etc/docker/cert.d
[root@srv00 ~]# cp ca.pem server-key.pem server-cert.pem /etc/docker/cert.d/
[root@srv00 ~]# vi /etc/systemd/system/docker.service.d/daemon.conf 
[Service]
ExecStart=
ExecStart=/usr/bin/docker daemon -H fd:// \
--storage-driver=devicemapper --storage-opt=dm.thinpooldev=/dev/mapper/vgdocker-thinpool --storage-opt dm.use_deferred_removal=true \
--tlsverify --tlscacert=/etc/docker/cert.d/ca.pem --tlscert=/etc/docker/cert.d/server-cert.pem --tlskey=/etc/docker/cert.d/server-key.pem \
-H=0.0.0.0:2376
[root@srv00 ~]# systemctl daemon-reload
[root@srv00 ~]# systemctl restart docker

客户端的连接

[root@srv00 ~]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=192.168.1.80:2376 version
Client:
 Version:      1.11.1
 API version:  1.23
 Go version:   go1.5.4
 Git commit:   5604cbe
 Built:        Wed Apr 27 00:34:42 2016
 OS/Arch:      linux/amd64

Server:
 Version:      1.11.1
 API version:  1.23
 Go version:   go1.5.4
 Git commit:   5604cbe
 Built:        Wed Apr 27 00:34:42 2016
 OS/Arch:      linux/amd64

客户端证书移到另一台机器上测试

[root@srv00 ~]# scp ca.pem key.pem cert.pem hippo@192.168.1.81:/home/hippo
hippo@192.168.1.81's password: 
ca.pem                                                                                                             100% 2069     2.0KB/s   00:00    
key.pem                                                                                                            100% 3243     3.2KB/s   00:00    
cert.pem                                                                                                           100% 1846     1.8KB/s   00:00

ubuntu 机器上配置

hippo@ubuntu:~$ mkdir .docker
hippo@ubuntu:~$ mv ca.pem cert.pem key.pem .docker/
hippo@ubuntu:~$ export DOCKER_HOST=tcp://192.168.1.80:2376
hippo@ubuntu:~$ export DOCKER_TLS_VERIFY=1
hippo@ubuntu:~$ docker version
Client:
 Version:      1.10.3
 API version:  1.22
 Go version:   go1.6.1
 Git commit:   20f81dd
 Built:        Wed, 20 Apr 2016 14:19:16 -0700
 OS/Arch:      linux/amd64
An error occurred trying to connect: Get https://192.168.1.80:2376/v1.22/version: dial tcp 192.168.1.80:2376: getsockopt: no route to host

通过配置环境变量而不是通过传递参数也可

可能服务端防火墙的问题..我们开放2376端口就好

[root@srv00 ~]# firewall-cmd --state
running
[root@srv00 ~]# firewall-cmd --add-port=2376/tcp --permanent
[root@srv00 ~]# firewall-cmd --reload
[root@srv00 ~]# firewall-cmd --list-port

再在ubuntu上试一下

hippo@ubuntu:~$ docker version
Client:
 Version:      1.10.3
 API version:  1.22
 Go version:   go1.6.1
 Git commit:   20f81dd
 Built:        Wed, 20 Apr 2016 14:19:16 -0700
 OS/Arch:      linux/amd64

Server:
 Version:      1.11.1
 API version:  1.23
 Go version:   go1.5.4
 Git commit:   5604cbe
 Built:        Wed Apr 27 00:34:42 2016
 OS/Arch:      linux/amd64
hippo@ubuntu:~$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
centos              latest              8596123a638e        9 days ago          196.7 MB
ubuntu              latest              c5f1cf30c96b        3 weeks ago         120.7 MB

测试成功.

如果将客户端证书放在用户的.docker目录下,则--tlscacert --tlscert --tlskey 这些参数无需指定.如果是daemon的本机,-H参数也无需指定.

//END

转载于:https://my.oschina.net/hippora/blog/682924

weixin_34130389
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker daemon远程连接设置详解
09-30
本篇文章主要介绍了docker daemon远程连接设置详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Protect the Docker daemon socket(TLS)
liukuan73的专栏
09-22 2107
https://docs.docker.com/engine/security/https/#connecting-to-the-secure-docker-port-using-curl  By default, Docker runs via a non-networked Unix socket. It can also optionally communicate using an
docker使用http服务及国内镜像加速
机器人梦想家 Bing
12-14 1242
由于docker默认https提供服务,即使是http依旧会强制使用https链接。使用harbor建立http docker服务器,本地拉取远程镜像。假设目标http服务器为。
保姆级手把手教你如何使用HTTP远程连接Docker
tangdou369098655的博客
02-13 909
备注:默认情况下使用 systemd 时,docker.service 的设置为:ExecStart=/usr/bin/dockerd -H fd://,这将覆盖写到 daemon.json 中的任何 hosts。通过在 override.conf 文件中将 ExecStart 仅仅定义为:ExecStart=/usr/bin/dockerd,这将会使用在 daemon.json 中设置的 hosts。欢迎大家指出文章需要改正之处~
docker开放的端口_Docker开放远程安全访问(开启2376端口和CA认证)
weixin_39805529的博客
12-19 744
前言仅仅开放远程访问Docker API,这个还不够的,因为会有安全问题。关于这点,Docker有相关的安全机制,参考官方文档Protect the Docker daemon socket,大致就是:生成证书,用来达到验证客户端身份的目的。下面是操作步骤:服务器配置1. 创建certs文件夹,用来存放CA私钥和公钥mkdir -pv /etc/docker/certscd /etc/docker...
docker执行权限问题Got permission denied while trying to connect to the Docker daemon socket
m0_59092234的博客
08-14 1432
上述操作之后,需要重新开一个session,用户再次登录之后,就可以不用sudo来执行docker相关的命令了。但是每次都要加上sudo还是挺麻烦的,因此考虑将用户加到docker组中来解决这个问题。-aG:-a在-G存在的情况下,增加次要用户组的支持,而不是修改当前用户组。...
Docker”Got permission denied while trying to connect to the Docker daemon socket”报错解决
01-07
报错信息: ”Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get ...“ 原因: docker mannual: Manage Docker as a non-root user ...
关于docker安全之Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
使用TLS加密通讯远程连接Docker的示例详解
01-20
如果需要以安全的方式通过网络访问 Docker,可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。 在守护程序模式下,它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下,它仅连接到...
Docker指令报错的解决方法:Got permission denied while trying to connect to the Docker daemon socket at unix:/
BaoITcore的博客
11-07 3万+
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/version": dial unix /var/run/docker.sock: connect: permission denied。
Docker启用TLS实现安全配置的步骤
01-10
前言 之前开启了docker的2375 Remote API,接到公司安全部门的要求,需要启用授权,翻了下官方文档 Protect the Docker daemon socket 启用TLSdocker服务器,生成CA私有和公共密钥 $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ..................................................................................
Docker实战-Docker Daemon
DWWWWWEI的博客
10-20 3万+
一、修改Docker Daemon    Docker DaemonDocker的守护进程,Docker Client通过命令行与Docker Damon通信,完成Docker相关操作    Docker Daemon有不同的修改方式:命令行修改,修改启动项,修改配置文件。其中仅仅只是研究或一次使用Docker Daemon的不同选项时,可以通过命令行的方式,此时Docker Daemon运行在前
docker远程开启TLS配置后,如何禁止本地连接daemon?
zzb7728317的博客
05-20 588
各位docker大神,请问docker开启远程TLS连接后,有配置客户端白名单的配置吗? 开启远程后,如何禁止本地docker客户端连接docker daemon呢? 谢谢
解决 ERROR: Couldn't connect to Docker daemon at http+docker://localunixsocket - is it running?
热门推荐
xiojing的博客
03-09 6万+
ubuntu16.04 安装完docker后在docker-compose.yml文件所在目录执行: jing@ubuntu:/tmp/docker$ docker-compose up -d 报错: ERROR: Couldn’t connect to Docker daemon at http+docker://localunixsocket - is it runnin...
Docker ps : permission denied报错
m0_46900715的博客
10-25 745
问题描述: 解决方法: 具体命令: sudo groupadd docker #添加docker用户组 sudo gpasswd -a $XXX docker #检测当前用户是否已经在docker用户组中,其中XXX为用户名, sudo gpasswd -a $USER docker #将当前用户添加至docker用户组 newgrp docker #更新docker用户组 参考文档:解决Ubuntu18.04启动Doc...
Couldn't connect to Docker daemon at http+docker://localunixsocket - is it running?
weixin_34352449的博客
11-13 571
解决方法: 1.进入启动文件目录 2.将用户加入到docker 组   sudo gpasswd -a${USER} docker    3.使用root用户   sudo su 4. 切换当前用户   su${USER} 5,.重新启动docker镜像   docker-compose up -d    转载于:https://www.cnblo...
Docker Daemon连接方式详解
weixin_33935777的博客
12-04 1000
https://www.jianshu.com/p/7ba1a93e6de4
docker入门(一)----权限问题,错误关键词:Got permission denied while trying to connect to the Docker daemon socket
zbrwhut的博客
06-24 8138
我的系统是Ubuntu14.04,今天刚安装的docker,对于深度学习开发者来说,最麻烦的就是在不同的机器上配环境,有时候快一些是几天,有时候慢一些一个月。而且每次遇到的错误都不一样,所以萌生了要学习docker的想法。初次安装docker,试了好多种方法,有一种方法安装成功了。# uname -r (内核必须比3.10高) # sudo apt-get update # 更新系统资源列表 #...
docker】Couldn't connect to Docker daemon at http+docker://localhost
架构大师笔记
10-17 1万+
Couldn’t connect to Docker daemon at http+docker://localhost - is it running? 我使用的是ubuntu16.04 原因在于当前用户没有docker的使用权限,需要使用sudo 或者将当前用户加入到docker用户组,这个请参考我写的另一篇文章: 非root用户没有权限使用docker 这个问题可以参考github上的iss...
permission denied while trying to connect to the Docker daemon socket at
最新发布
09-09
当出现"permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock"错误消息时,这意味着当前用户没有足够的权限来连接Docker守护进程的socket。解决这个问题有两种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值