Docker配置远程连接

已于 2023-08-20 11:48:36 修改
阅读量1.1k 收藏 2
点赞数
文章标签: docker 容器 运维
于 2023-08-20 11:47:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43701894/article/details/132383049
版权

Docker配置远程连接

还是惯例,先贴官网地址

Docker架构

Docker基于CS(client-server)架构,Docker client简单来说就是执行docker ps, docker image list等命令的客户端,Docker daemon即运行在后台的dockerd进程,负责处理请求、运行、管理容器等工作,下图来自Docker官网,简单展示了Docker的架构。
在这里插入图片描述
既然是CS架构,Docker客户端就要连接Docker服务,二者可以作为同一主机上的两个进程,也可以是不同主机上的两个进程进行通信,都是使用REST API。另外,Docker Compose也是另一个单独的Docker client。

Docker Daemon

Docker daemon(dockerd)监听API请求并管理各种Docker对象,镜像、容器、网络和卷(volumes)。Docker daemon也可以与其他的daemon交互,管理docker服务。

Docker Client

Docker client(docker)是我们操作docker的接口,执行的docker命令被发送到Docker Daemon,处理后返回结果呈现在前端。Docker client可以同时与多个Docker Daemon交互。

Docker Desktop

Docker提供的图形化桌面应用,有Windows、Linux、Mac版本,涵盖了Docker Daemon、Docker client、Docker Compose、Docker Content Trust, Kubernetes,和Credential Helper,其中Windows是基于WSL的。

Docker registries

存储Docker镜像的地方,Pypi,Maven仓库类似。

Docker Daemon配置

配置Docker Daemon有两种方式

  • 使用JSON文件,默认位置是/etc/docker/daemon.json
  • dockerd启动参数
    这种方式又有两个位置可以配置
    1. /usr/lib/systemd/system/docker.service
    2. rootless模式下,/etc/systemd/system/docker.service.d/下所有的conf配置文件
      推荐使用第二种方式,如果没有找到docker.sevice文件,可能你不是使用包安装管理器安装的docker,可以参考这个github仓库安装服务。

可以同时使用两种方式,dockerd会将启动参数和JSON文件中的配置合并,前提是两个位置的配置不能冲突,不能出现相同的配置选项(key)。

配置Docker远程连接

Docker配置远程连接
默认情况下,dockerd在unix套接字上监听本地docker client连接。配置远程连接有加密(基于TLS)和不加密两种方式,都可以通过systemd或者daemon.json完成,两种配置不能有冲突,否则会导致dockerd启动失败

非安全方式

无需任何认证,任何客户端均可以与dockerd通信,不安全,不推荐。

TLS(HTTPS)安全方式

  1. 使用HTTPS会生成各种认证文件,新建文件夹用于生成这些文件。
mkdir /root/tls
cd /root/tls

# 环境变量,后面使用
HOST=服务器IP
  1. 生成CA证书
openssl genrsa -aes256 -out ca-key.pem 4096

以下是示例输出

Generating RSA private key, 4096 bit long modulus
…++
…++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:Queensland
Locality Name (eg, city) []:Brisbane
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc
Organizational Unit Name (eg, section) []:Sales
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []:Sven@home.org.au

$HOST即上面设置的服务器IP

  1. 生成服务器公钥
openssl genrsa -out server-key.pem 4096
# Generating RSA private key, 4096 bit long modulus
#.....................................................................++
#.................................................................................................++
#e is 65537 (0x10001)
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
  1. 公钥签名
echo subjectAltName = DNS:$HOST,IP:$HOST,IP:127.0.0.1 >> extfile.cnf

echo extendedKeyUsage = serverAuth >> extfile.cnf
  1. 生成签名证书
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
# Signature ok
# subject=/CN=your.host.com
# Getting CA Private Key
# Enter pass phrase for ca-key.pem:
  1. 为客户端生成证书
openssl genrsa -out key.pem 4096
# Generating RSA private key, 4096 bit long modulus
# .........................................................++
................++
# e is 65537 (0x10001)
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth > extfile-client.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf
# Signature ok
# subject=/CN=client
# Getting CA Private Key
# Enter pass phrase for ca-key.pem:
  1. 删除无用文件,修改权限
rm -v client.csr server.csr extfile.cnf extfile-client.cnf
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

最后有以下几个文件

-r-------- 1 root root 3326 Aug 19 08:27 ca-key.pem
-r--r--r-- 1 root root 2130 Aug 19 08:27 ca.pem
-rw-r--r-- 1 root root   41 Aug 19 08:44 ca.srl
-r--r--r-- 1 root root 1883 Aug 19 08:44 cert.pem
-r-------- 1 root root 3243 Aug 19 08:43 key.pem
-r--r--r-- 1 root root 1948 Aug 19 08:30 server-cert.pem
-r-------- 1 root root 3243 Aug 19 08:28 server-key.pem
  1. 配置Docker Daemon启动
    首先复制认证文件到/etc/docker
    cp -v {ca,cert,key}.pem /etc/docker
  • daemon.json方式,推荐
    1. vim /etc/docker/daemon.json,添加以下内容
    {
    "hosts": ["unix:///var/run/docker.sock", "tcp://0.0.0.0:2376"],
    "tls": true,
    "tlscacert": "/etc/docker/ca.pem",
    "tlscert": "/etc/docker/server-cert.pem",
    "tlskey": "/etc/docker/server-key.pem",
    "tlsverify": true
}
    1. 覆盖systemd中host配置,否则会启动失败,vim /etc/systemd/system/docker.service.d/exec-start-conflit.conf
    [Service]
ExecStart=
ExecStart=/usr/bin/dockerd --containerd=/run/containerd/containerd.sock
  • systemd方式
    vim /etc/systemd/system/docker.service.d/exec-start-conflit.conf
    [Service]
ExecStart=
ExecStart= --tlsverify --tls --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2376 --containerd=/run/containerd/containerd.sock

两种方式配置完后,都需要重启docker

systemctl daemon-reload
systemctl restart docker
# 检查2376端口是否打开
netstat -nltp | grep 2376
# 本地是否正常执行
docker ps

客户端连接Docker Daemon

拷贝ca.pem、cert.pem、key.pem到客户端主机指定文件夹。

docker --tlsverify \
    --tlscacert=ca.pem \
    --tlscert=cert.pem \
    --tlskey=key.pem \
    -H=$HOST:2376 version
__如风__
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker容器开启ssh服务远程连接
Leo的博客
07-16 1万+
这里使用的容器是centos7环境,基本是个比较纯净的环境,几乎什么都没装 根据自己需求,先安装一些基本的(容器,默认是root用户) yum install -y net-tools 接着安装openssl,openssh-server yum install -y openssl openssh-server 然后启动ssh /usr/sbin/sshd -D 这里会报错 ...
Docker 设置外网远程连接
苏启
09-30 1425
cd/lib/systemd/system vi docker.service ExecStart 增加 -H tcp://0.0.0.0:2375 重启docker systemctl daemon-reload systemctlrestart docker 到了这里还并没有完全好,如果你用其他电脑连接会发现还连接不上, 因为2375这个端口 没有被开放出来 firewall-cmd --zone=public --add-port=2375/tcp --permanen...
docker daemon远程连接设置详解
09-30
本篇文章主要介绍了docker daemon远程连接设置详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker之开启远程访问的实现
09-30
主要介绍了Docker之开启远程访问的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
2024年Docker开启并配置远程安全访问_docker开启远程访问,从青铜到王者的路线
最新发布
2401_84281588的博客
05-10 882
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。授权插件提供了更细粒度的控制,以补充来自双向TLS的身份验证。除了上述描述的其他信息外,在Docker守护进程上运行的授权插件还接收用于连接Docker客户端的证书信息。或者域名,都是将来对外开放的地址,也就是用于连接的地址。即可,这个文件影响到ca颁发的证书的序号,而证书序号应该是唯一的,所以这点需要控制好。注意:为了简化接下来的几个步骤,我们可以在Docker守护进程的主机上执行此步骤。但是有很多多余的配置文件,生成。
Docker 配置远程访问
u010856284的博客
04-14 1864
首先编辑docker的宿主机文件/lib/systemd/system/docker.service。修改以ExecStart开头的行:(因为我的系统是centos 7的,所以修改为下面得)接下来测试一下看是否能连接到docker api。上面的2375就是对应端口。修改后保存文件,然后通知docker服务做出的修改。重启docker服务。
docker配置远程访问
python_tty的专栏
05-23 686
docker远程访问
docker开启远程链接以及IDEA如何远程连接docker服务
码农之路,向死而生
08-29 1786
docker开启远程访问。以及,IDEA如何链接远程docker服务
Docker安全开放远程访问连接权限
python15397的博客
07-10 3999
在执行脚本的过程中,会提示我们输入之前创建的证书和私钥的存放地址,我们必须填写正确的地址,否则会导致Docker服务无法读取证书和私钥。完全开放Docker对外访问权限有可能会遭到别人攻击,这是很不安全的,只要别人知道你的服务器地址就能够随意连接你的docker服务,而不需要任何认证,因此,完全开放只推荐自己在内网使用,不推荐在云服务器上直接完全开放。如果你的证书和私钥的存放地址是自己定义的地址,那么,你需要将 daemon.json 中的地址也相应的修改以下。三个参数即可,其他的什么都不用做。
如何开启Docker的远程访问
热门推荐
sg_knight的专栏
08-13 1万+
本文为转载文章,主要介绍如何开启docker的远程访问并通过idea进行远程操作。
docker 部署redis 并配置远程连接
weixin_44491974的博客
10-27 937
为了避免自己忘记,记录自己使用流程 1.搜索redis docker search redis 2.拉取redis镜像 docker pull docker.io/redis 3.查看拉取的redis镜像 docker images 4.准备redis的配置文件 在/root/docker/redis/conf 创建好redis.conf文件。redis.conf可以从redis官网下载 然后启动的时候导入redis的配置文件,就可以按照配置来启动了。 mkdir -p /root/docker
使用portainer连接远程docker的教程
09-29
Portainer是一个轻量级的docker环境管理UI,可以用来管理docker宿主机和docker swarm集群,这篇文章主要介绍了使用portainer连接远程docker的方法,需要的朋友可以参考下
docker部署mongodb并开启远程连接
01-07
docker search mongo docker pull mongo docker images | grep mongo 2. 使用 docker 安装 mongodb(创建容器并运行) docker run --name mongodb -v ~/docker/mongo:/data/db -p 27017:27017 -d mongo 执行上述...
一键远程连接docker脚本.zip
04-12
在工作学习中,为了提高项目部署效率,一般会在Idea中直接使用Docker插件连接服务器Docker容器,然后将项目打包与DockerFile一起build成Docker镜像部署运行。但是不可能服务器总是跟着主机的,因此呢时常会面临的一...
Docker开启并配置远程安全访问
Young_深情不及里子的博客
04-12 4728
在工作学习中,为了提高项目部署效率,一般会在Idea中直接使用Docker插件连接服务器Docker容器,然后将项目打包与DockerFile一起build成Docker镜像部署运行。但是不可能服务器总是跟着主机的,因此呢时常会面临的一个问题就是从A端访问B端服务器上的Docker从而引发的Docker的远程访问问题。因此在此总结一下Docker安全访问配置的过程,仅供学习参考!
Docker基础25--5.6 配置docker远程服务
weixin_43631940的博客
11-01 934
通过tcp:2375端口实现docker远程服务,通过TCP:2376端口+TLS方式实现docker远程服务
docker学习笔记(二)
m0_62574889的博客
05-11 2516
启动Docker ​编辑 建立 Docker 用户 ​编辑 测试 Docker 是否正常工作 卸载Docker Docker镜像加速器配置 配置镜像 检查加速器是否生效 如何在Linux中的.json文件下保存并退出 如果我是使用vi操作进来的,我该如何保存并退出呢? 如何在Linux系统下删除deamon.json文件 检查加速器是否生效 云服务商 Docker远程访问 开启访问 Docker远程访问是为了干什么? 安全认证 配置Docker支持TLS 客户
Docker设置开启远程访问
鳄鱼儿
11-07 1564
通过IP验证,本机ip为http://192.168.1.17:2375/version。我本地存放docker.service文件的路径为。查找到docker.service文件存放路径。通过 curl 访问验证。
配置开启Docker2375远程连接与解决Docker未授权访问漏洞
Sherry
11-13 4519
配置开启Docker2375远程连接与解决Docker未授权访问漏洞。
docker无法远程连接mysql2003
06-12
要让 Docker 中的 MySQL 实例可以被远程访问,你需要按照以下步骤进行配置: 1. 确保 Docker 容器中的 MySQL 服务已经启动并且正常运行。 2. 确认 MySQL 服务监听的端口号。默认情况下,MySQL 监听的端口号是3306。 3. 确保你的防火墙已经开放了 MySQL 服务所在主机上的 3306 端口。 4. 检查 MySQL 配置文件中的 bind-address 配置项是否被注释掉了。如果 bind-address 被注释掉了,MySQL 只会监听本地的连接请求。 5. 如果你的 MySQL 实例是使用 Docker Compose 配置的,则需要在 docker-compose.yml 文件中添加一个端口映射,将容器内的 3306 端口映射到宿主机上的一个端口,例如: - "3306:3306"。 6. 如果你的 MySQL 实例是使用 Docker Swarm 配置的,则需要在服务配置中添加一个端口映射,将容器内的 3306 端口映射到宿主机上的一个端口,例如:-p 3306:3306。 如果你完成了以上步骤还是无法远程连接 MySQL,可以尝试使用 telnet 命令或者 nc 命令测试是否能够访问 MySQL 服务所在的主机和端口。如果还有问题,请提供更详细的错误信息,以便我能够更好地帮助你解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值