写在最前面
官网文档
关于docker如何开启远程连接,以及如何使用“内置的 HTTPS 加密套接字”来安全连接,docker官网上有非常详细的英文介绍,本文关于这部分的内容也大致上是官网文档的翻译。
参见:
- dockerd的命令行选项
- 使用TLS (HTTPS)保护Docker守护进程套接字
Docker Engine 客户端与服务端之间的通信
我们知道 Docker Engine 是一个客户端-服务器型的应用程序。dockerd作为一个守护进程在后台长时间运行(所以有时候也说是docker daemon)是docker的服务端。docker daemon不提供任何操作界面(CLI命令行或者图形界面),可供用户直接使用的操作界面由客户端(Docker CLI、各种docker的图形操作界面、idea的docker插件等等)提供。
docker demon提供了一套与之通信的api,并且支持unix域套接字、tcp和fd(Systemd socket activation)这三种套接字通信模式,通过dockerd的-H 选项来开启套接字支持,例如:
- UNIX套接字:
dockerd -H unix:///var/run/docker.sock
- fd:
dockerd -H fd://
危险的操作
By default, Docker runs through a non-networked UNIX socket. It can also optionally communicate using SSH or a TLS (HTTPS) socket.
——摘自docker官网
docker daemon默认是只开放UNIX域套接字来通信的,UNIX域套接字只能与本地的进程进行通信。也就是说默认情况下只能利用本地 Docker Engine 提供的docker CLI,使用docker命令来与docker daemon通信。如果要使用idea的docker插件来远程通信的话,就需要开启tcp:
例如:
dockerd -H tcp://0.0.0.0:2375
注意,上面的命令是非常危险的
,应为它允许任意IP的2375端口与docker daemon直接进行通信,并且不需要任何身份认证。如果你的docker daemon主机处于外网环境,这样做会直接让你的docker daemon裸奔在互联网,任意ip都可以连上你的docker daemon来搞事情。
之前买的云服务器,按照百度来的做法,这样搞了。后来直接被ip在荷兰的黑客黑去挖矿了,血淋淋的教训啊
国内现状,大伙懂得都懂,一抄十、十抄百,没几个去真正研究的。即使是这种非常危险的操作,也没有任何说明(因为都是抄的,自己也没弄明白怎么回事儿)。所以,即使官网的英文文档写的很详细的了,我觉得也有必要再写篇博客来好好捋一捋docker如何开启使用TLS保护的安全远程连接,不至于让你的docker daemon裸奔在互联网。
idea的docker插件
idea有个docker插件,使用这个插件来操作docker非常方便。
在使用前需要在插件里配置docker,具体位置如下:
可以看到这里是支持TCP socket远程连接的,并且支持使用 TLS ,需要提供CA证书(图中的Certification folder),所以第一步是开启docker的安全远程连接。
使用TSL,在docker daemon可以只允许来自由该 CA 签名的证书进行身份验证的客户端的连接。在客户端,它只连接到具有该 CA 签署的证书的服务器。也就是只有docker daemon和客户端的的证书对得上号,他们才能进行连接并通信,确保连接的客户端是受docker daemon信任的。
docker安全远程连接
使用TLS (HTTPS)保护Docker守护进程套接字
官网原文链接 https://docs.docker.com/engine/security/protect-access/#use-tls-https-to-protect-the-docker-daemon-socket
使用 OpenSSL 创建 CA、服务器和客户端密钥
首先,在远端的docker宿主主机上新建个文件夹,保存生成的 CA 私钥和公钥文件:
mkdir ~/ca
cd ~/ca
使用OpenSSL生成 CA 私钥和公钥文件
依次执行以下命令:
openssl genrsa -aes256 -out ca-key.pem 4096
这里需要输入一个密码,请牢记这个密码,后面要用到
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
这里需要输入密码、国家、省、市、组织、单位、Common name、邮箱等。这里没啥特殊的,按要求写就行
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
注意,将
/CN=
后面的$HOST
替换成docker所在主机的域名或者IP地址。
使用 CA 签署公钥
echo subjectAltName = DNS:$HOST,IP:0.0.0.0 >> extfile.cnf
同样要替换
$HOST
为docker所在主机的域名或者IP地址。
上面是允许所有IP远程访问,也可以只允许指定的IP访问。例如,只允许10.10.10.20和10.10.10.30进行连接:
echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:10.10.10.30 >> extfile.cnf
将 Docker 守护程序密钥的扩展使用属性设置为仅用于服务器身份验证:
echo extendedKeyUsage = serverAuth >> extfile.cnf
生成签名证书
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out server-cert.pem -extfile extfile.cnf
授权插件提供更细粒度的控制来补充来自双向 TLS 的身份验证。除了上述文档中描述的其他信息外,在 Docker 守护程序上运行的授权插件会收到用于连接 Docker 客户端的证书信息。
继续创建客户端密钥和证书签名请求:
openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
要使密钥适合客户端身份验证,请创建一个新的扩展配置文件:
echo extendedKeyUsage = clientAuth > extfile-client.cnf
现在,生成签名证书:
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out cert.pem -extfile extfile-client.cnf
生成后cert.pem,server-cert.pem您可以安全地删除两个证书签名请求和扩展配置文件:
rm -v client.csr server.csr extfile.cnf extfile-client.cnf
默认umask值为 022,您的密钥对您和您的组来说是世界可读和可写的。
为保护您的密钥免受意外损坏,请移除其写入权限。要使它们只能由您读取,请按如下方式更改文件模式:
chmod -v 0400 ca-key.pem key.pem server-key.pem
证书可以是全世界可读的,但您可能希望删除写入权限以防止意外损坏:
chmod -v 0444 ca.pem server-cert.pem cert.pem
让 Docker daemon只接受来自提供 CA 信任的证书的客户端的连接
把dockerd要用到的文件找个地方单独存放:
cp {ca,server-*}.pem /etc/docker/
在启动docker daemon时开启TSL认证,并指定ca、公钥秘钥:
dockerd \
--tlsverify \
--tlscacert=/etc/docker/ca.pem \
--tlscert=/etc/docker/server-cert.pem \
--tlskey=/etc/docker/server-key.pem \
-H=0.0.0.0:2376
注意:基于 TLS 的 Docker 应该在 TCP 端口 2376 上运行。
使用service
上面是直接使用dockerd,但是一般是使用service管理docker daemon,有两种方法进行配置:
- 可以直接把上面的命令选项附加到ExecStart:
vim /lib/systemd/system/docker.service
修改ExecStart
ExecStart=/usr/bin/dockerd -H fd:// -H unix:///var/run/docker.sock --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H tcp://0.0.0.0:2376
修改后记得reload一下:
systemctl daemon-reload
重启docker daemon服务:
service docker restart
- 也可以通过修改daemon.json配置:
vim /etc/docker/daemon.json
修改以下几个配置:
{
"hosts": [
"fd://",
"unix:///var/run/docker.sock",
"tcp://0.0.0.0:2376"
],
"tlsverify": true,
"tlscacert": "/etc/docker/ca.pem",
"tlscert": "/etc/docker/server-cert.pem",
"tlskey": "/etc/docker/server-key.pem"
}
同时需要去除/lib/systemd/system/docker.service
文件中ExecStart
里全部的-H
选项,因为命令行选项的优先级高于daemon.json配置文件。
客户端设置
将客户端密钥和签名证书拉取到客户端
使用scp命令拉取服务器上的客户端秘钥和签名证书:
C:\Users\xxx> scp root@$HOST:~/ca/{ca,cert,key}.pem ./.ca/docker
同样将 $HOST 替换成docker daemon所在服务器的ip或域名,不熟悉 scp 命令的先百度下用法。
idea的docker插件配置
回到docker插件配置页面:
点击加号,选择TCP Socket,Engine API URL格式要填https://$HOST:2376
,$HOST换成docker daemon所在服务器的ip或域名,Certification folder选择你刚刚拉取的客户端秘钥和签名证书所在文件夹。
出现Connection successful表示配置成功。service里面会出现一个docker: