docker-java使用docker 2375或者2376端口

最新推荐文章于 2024-07-31 10:21:11 发布
最新推荐文章于 2024-07-31 10:21:11 发布
阅读量836 收藏 2
点赞数
分类专栏: docker和harbor 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yinghuo233/article/details/107839381
版权

一、docker 使用TLS开启2376

1.1  使用Openssl 生成CA、服务器和客户端密钥

#cd 到证书生成目录

cd /etc/.docker/certs

$HOST为服务器ip

$ openssl genrsa -aes256 -out ca-key.pem 4096

Generating RSA private key, 4096 bit long modulus

............................................................................................................................................................................................++

........++

e is 65537 (0x10001)

Enter pass phrase for ca-key.pem:

Verifying - Enter pass phrase for ca-key.pem:

$ openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem

Enter pass phrase for ca-key.pem:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:Henan

Locality Name (eg, city) []:Zhengzhou

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Inspur

Organizational Unit Name (eg, section) []:Inspur

Common Name (e.g. server FQDN or YOUR name) []:$HOST

Email Address []:wjy@inspur.co

1.2  生成服务器密钥和证书签名请求

$ openssl genrsa -out server-key.pem 4096

Generating RSA private key, 4096 bit long modulus

.....................................................................++

.................................................................................................++

e is 65537 (0x10001)

$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

1.3  指定IP地址和DNS名称

echo subjectAltName = DNS:$HOST,IP:10.151.11.52,IP:127.0.0.1,IP:0.0.0.0 >> extfile.cnf

#将docker守护进程密钥的扩展使用属性设置为仅使用于服务器的身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

1.4  生成签名证书

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \

  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

Signature ok

subject=/CN=your.host.com

Getting CA Private Key

Enter pass phrase for ca-key.pem:

1.5  生成客户端密钥和证书签名请求

$ openssl genrsa -out key.pem 4096

Generating RSA private key, 4096 bit long modulus

.........................................................++

................++

e is 65537 (0x10001)

$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

$ echo extendedKeyUsage = clientAuth > extfile-client.cnf

#生成签名证书

$ openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \

  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

Signature ok

subject=/CN=client

Getting CA Private Key

Enter pass phrase for ca-key.pem:

#删除证书签名请求和扩展配置文件

$ rm -v client.csr server.csr extfile.cnf extfile-client.cnf

#删除密钥的写权限,保护密钥不受意外损坏

$ chmod -v 0400 ca-key.pem key.pem server-key.pem

$ chmod -v 0444 ca.pem server-cert.pem cert.pem

#生成证书结果:

 

1.6  开启docker 2376端口

#打开docker service文件

vim /etc/systemd/system/docker.service

在ExecStart=/usr/bin/dockerd-current 后面增加

 --tlsverify --tlscacert=/etc/.docker/certs/ca.pem --tlscert=/etc/.docker/certs/server-cert.pem \--tlskey=/etc/.docker/certs/server-key.pem -H tcp://0.0.0.0:2376  -H unix:///var/run/docker.sock

#重启docker

systemctl daemon-reload

systemctl restart docker

1.7  配置客户端

1. 创建证书目录

mkdir -pv ~/.docker/certs/cd ~/.docker/certs/

2. 将服务端/etc/.docker/certs中ca.pem、cert.pem、key.pem这3个文件拷贝到当前目录

scp ca.pem cert.pem key.pem ~/.docker/certs

文件为ca.pem、cert.pem、key.pem,IDEA工具连接直接选择客户端证书文件夹就行

1.8  IDEA连接docker配置(可选)

1、打开IDEA,点击File->Settings, 在搜索栏输入docker

2、在API URL中端口可以输入自己开启的2375或者2376

 

二、docker 开启2375端口

#打开docker service文件

vim /etc/systemd/system/docker.service

在ExecStart=/usr/bin/dockerd-current 后面增加 -H tcp://0.0.0.0:2375

#重启docker

systemctl daemon-reload

systemctl restart docker

三、docker-java配置使用2375或者2376端口

3.1 pom.xml中引入依赖的maven包

<dependency>
    <groupId>com.github.docker-java</groupId>
    <artifactId>docker-java</artifactId>
    <version>3.2.5</version>
</dependency>

<dependency>
    <groupId>com.github.docker-java</groupId>
    <artifactId>docker-java-core</artifactId>
    <version>3.2.5</version>
</dependency>

<dependency>
    <groupId>com.github.docker-java</groupId>
    <artifactId>docker-java-transport-httpclient5</artifactId>
    <version>3.2.5</version>
</dependency>

3.2连接2376端口

DockerClientConfig config = DefaultDockerClientConfig.createDefaultConfigBuilder()
        .withDockerHost("tcp://10.151.11.51:2376")
        .withDockerTlsVerify(true)
        .withDockerCertPath("~/.docker/certs")
        .withRegistryUsername("admin")
        .withRegistryPassword("123456a?")
        .withRegistryUrl("http://10.151.11.51:5000")
        .build();

DockerHttpClient httpClient = new ApacheDockerHttpClient.Builder()
        .dockerHost(config.getDockerHost())
        .sslConfig(config.getSSLConfig())
        .build();

DockerClient dockerClient = DockerClientImpl.getInstance(config, httpClient);

3.3 连接2375端口

DockerClientConfig config = DefaultDockerClientConfig.createDefaultConfigBuilder()
                .withDockerHost("tcp://10.151.11.51:2375")
                .withDockerTlsVerify(false)
//                .withDockerCertPath("~/.docker/certs")
                .withRegistryUsername("admin")
                .withRegistryPassword("123456a?")
                .withRegistryUrl("http://10.151.11.51:5000")
                .build();

DockerHttpClient httpClient = new ApacheDockerHttpClient.Builder()
                .dockerHost(config.getDockerHost())
                .sslConfig(config.getSSLConfig())
                .build();

DockerClient dockerClient = DockerClientImpl.getInstance(config, httpClient);

配置完成,可以使用docker-java对docker服务器的镜像和镜像仓库中的镜像进行操作。

参考链接:

https://docs.docker.com/engine/security/https/

https://github.com/docker-java/docker-java/blob/3.2.5/docs/getting_started.md

莹火233
关注
专栏目录
使用java管理docker_SpringBoot - 使用docker-java远程管理docker教程1(安装配置、基本用法)...
weixin_34768019的博客
03-02 1414
通常我们都是采用 dos 命令对 docker 进行操作,如果需要采用 Java 程序来管理 docker,可以借助 docker-javadocker-javaDockerJava 版本 API,下面通过样例演示其如何使用。一、安装配置1、服务端设置(1)由于访问 dockerAPI 需要设置一个远程访问端口,首先执行如下命令编辑服务器上的 docker.service 文件。vi ...
docker配置2376端口
xwnxwn的专栏
06-17 847
也就是你接下来要允许那些ip可以连接到服务器的docker,因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用。前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的,因此,docker官方推荐使用加密的tcp连接,以Https的方式与客户端建立连接。
Docker 开放2375端口
m0_37642745的博客
06-05 282
一、找到docker.service文件 systemctl status docker 二、修改docker.service文件 修改为: ExecStart=/usr/local/bin/dockerd -H tcp://0.0.0.0:2375 三、重启docker systemctl daemon-reload systemctl restart docker ...
深入理解 Docker(五)
最新发布
龙哥盟
07-31 396
守护进程模式客户端模式守护进程模式将拒绝来自未使用有效证书签署命令的客户端的连接。客户端模式将不会连接到没有有效证书的远程守护进程。通过 Docker 守护进程配置文件来配置 TLS。该文件名为,它是平台无关的。以下的hosts告诉 Docker 在哪个套接字上绑定守护进程。该示例将其绑定到端口2376上的网络套接字。您可以使用任何空闲端口,但惯例是在安全的 Docker 连接中使用2376。运行systemd的 Linux 系统无法使用此标志,需要使用systemd`覆盖文件。tls和。
docker 开放 2375端口
weixin_30888707的博客
09-26 1047
docker.service 文件内容在不同 docker 版本中不一样,这给不少人造成了一定疑惑,本文针对目前所见两种文件内容进行不同操作。 第一种 编辑docker 文件 vi /usr/lib/systemd/system/docker.service 在 ExecStart 行最后面加入红框中的内容 -H tcp://0.0.0.0:2375 ...
centos7 docker开启认证的远程端口2376配置
J_Lee
11-24 1169
centos7 docker开启认证的远程端口2376配置
java8看不到源码-docker-oracle-java8:docker-oracle-java8
06-04
java8 看不到源码 Oracle-java8 在容器 wnameless/oracle-xe-11g(Ubuntu 16.04 LTS 上的 Oracle Express 11g R2)之上添加 Java8 的容器。 建造 docker build -t oracle-java8 . 跑步 docker run -it --rm oracle-...
docker-compose-rule:使用docker-compose管理Docker容器的JUnit规则
02-01
如果您在使用Docker进行测试时遇到以下任何情况,则该库有望为您提供帮助: 编排多个服务并将端口映射到Docker计算机外部,以便可以在测试中进行断言 需要知道服务何时启动,以防止由于启动速度慢或服务依赖关系...
java8看不到源码-docker-oracle-java8-ant:docker-oracle-java8-ant
06-04
java8 看不到源码 oracle-java8-ant 在容器 sunithar/oracle-java8(带有 Java8 的 Ubuntu 16.04 LTS 上的 Oracle Express 11g R2)之上添加 Apache Ant 的容器。 建造 docker build -t oracle-java8-ant . 跑步 ...
使用docker-compose搭建高可用Apollo配置中心
09-24
Docker Compose中,我们将定义这些服务的容器,配置网络连接,以及环境变量,如服务地址、端口、数据库连接信息等。例如,Eureka服务可能需要设置EUREKA_CLIENT_SERVICE_URL_DEFAULTZONE,指向其他Eureka实例的URL...
docker 2376端口 CA 认证,并不能阻止服务器成为肉鸡
a01021111230的博客
09-10 616
看网上很多评论;自签CA证书,生成服务器CA签名证书,和客户端CA签名证书;docker服务端配置客户端,允许docker远程控制的客户端,配置客户端CA;只有该客户端CA签名证书才能远程控制docker;其实不对的。 docker的服务端CA,和客户端CA,只是完成了双方的信息双向加密。docker并没有进行双方身份的认证,所以2376端口是不安全的。 可以使用两套CA证书机构,分别签服务端CA证书,和客户端证书,验证,本人已验证,直接说结论: 客户端随便一个CA证书签名的客户端CA证书都可
docker开启2376端口CA认证
qq_20161461的博客
09-27 577
Docker CA认证 1、创建ca文件夹,存放CA私钥和公钥 mkdir -p /usr/local/ca cd /usr/local/ca/ 2、创建密码 需要连续输入两次相同的密码 openssl genrsa -aes256 -out ca-key.pem 4096 3、依次输入密码、国家、省、市、组织名称等 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 4、生成server-key.pem opens
Docker 开启2375端口
波特多的博客
12-10 686
第一步: 确认 docker.service 文件的位置 systemctl status docker 返回结果如下 docker.service路径为(不同liunx有可能不一样) /lib/systemd/system/docker.service 第二步:修改 docker.service sudo vim /lib/systemd/system/docker.service /u...
docker配置tls (一) 2376安全配置
lanwp5302的博客
04-17 5179
一、官方资料 官网资料 https://docs.docker.com/engine/reference/commandline/dockerd/ 创建证书步骤 官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/ 二、创建证书 生成的证书 ca-key.pem ca.pem ...
docker开启TLS远程访问 2376
lms99251的博客
07-18 1925
docker开启TLS远程访问的方法
docker2376连接端口设置CA证书详细过程
weixin_44012722的博客
04-20 1024
如何修复该漏洞 如果要安全的管理远程Docker主机,应该怎么做呢?其实,Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了。 首先要准备5个证书和秘钥文件,分别是ca.pem、server-cert.pem、server-key.pem、client-cert.pem和client-key.pem。其中,server-cert.pem中限制了能够访问Docker...
Docker基础25--5.6 配置docker远程服务
weixin_43631940的博客
11-01 1013
通过tcp:2375端口实现docker远程服务,通过TCP:2376端口+TLS方式实现docker远程服务
Docker构建harbor+IDEA,一篇文章就够了
m0_56388745的博客
12-23 1829
一. Docker介绍. 一帮年轻人,开了一家公司,从2010年的时候开始paas平台. 当时发现的及其好. 到了2013年的时候,像亚马逊,微软,谷歌都开始作paas平台. 同年2013年,将他们的核心技术开源, 这个核心技术就是Docker. 到了2014年,得到了C轮的融资.$4000W. 到了2015年,得到了D轮的融资.$9500W. 全神贯注的开始维护Docker. Docker主要作者之一. 所罗门. Docker的作者已经离开了维护Docker的团队,所罗门离开的主要原因,是朋友的公司,缺
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

莹火233

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值