专栏首页bdcnCoreOS配置Docker API TLS认证 顶

CoreOS配置Docker API TLS认证 顶

我们经常会利用Portainer来管理docker环境,也经常会用Jenkins来自动构建和部署docker,远程管理都会使用到Docker API,通常我们只是开启了没有安全保护的2375(通常)端口,这个比较危险,会导致远程劫持攻击。那么我们就需要配置TLS认证的2376(通常)端口。

下面我们针对CoreOS系统进行配置:

一、利用系统自带的openssl生成相应的服务端和客户端证书

我们利用脚本自动生成,这样非常便捷,脚本(auto-tls-certs.sh)如下:

#!/bin/bash
# 
# -------------------------------------------------------------
# 自动创建 Docker TLS 证书
# -------------------------------------------------------------

# 以下是配置信息
# --[BEGIN]------------------------------

CODE="dp"
IP="docker服务器ip"
PASSWORD="证书密码"
COUNTRY="CN"
STATE="BEIJING"
CITY="BEIJING"
ORGANIZATION="公司"
ORGANIZATIONAL_UNIT="Dev"
COMMON_NAME="$IP"
EMAIL="邮箱"

# --[END]--

# Generate CA key
openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "ca-key-$CODE.pem" 4096
# Generate CA
openssl req -new -x509 -days 365 -key "ca-key-$CODE.pem" -sha256 -out "ca-$CODE.pem" -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL"
# Generate Server key
openssl genrsa -out "server-key-$CODE.pem" 4096

# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key-$CODE.pem" -out server.csr

echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "server-cert-$CODE.pem" -extfile extfile.cnf


# Generate Client Certs.
rm -f extfile.cnf

openssl genrsa -out "key-$CODE.pem" 4096
openssl req -subj '/CN=client' -new -key "key-$CODE.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "cert-$CODE.pem" -extfile extfile.cnf

rm -vf client.csr server.csr

chmod -v 0400 "ca-key-$CODE.pem" "key-$CODE.pem" "server-key-$CODE.pem"
chmod -v 0444 "ca-$CODE.pem" "server-cert-$CODE.pem" "cert-$CODE.pem"

# 打包客户端证书
mkdir -p "tls-client-certs-$CODE"
cp -f "ca-$CODE.pem" "cert-$CODE.pem" "key-$CODE.pem" "tls-client-certs-$CODE/"
cd "tls-client-certs-$CODE"
tar zcf "tls-client-certs-$CODE.tar.gz" *
mv "tls-client-certs-$CODE.tar.gz" ../
cd ..
rm -rf "tls-client-certs-$CODE"

# 拷贝服务端证书
mkdir -p /etc/docker/certs.d
cp "ca-$CODE.pem" "server-cert-$CODE.pem" "server-key-$CODE.pem" /etc/docker/certs.d/

对脚本中的变量进行修改后运行,自动会创建好tls证书,服务器的证书在/etc/docker/certs.d/目录下:

客户端的证书在运行脚本的目录下,同时还自动打好了一个.tar.gz的包,很方便。

二、配置Docker服务(官方说明)

注意修改证书路径。

Enable the secure remote API on a new socket

Create a file called /etc/systemd/system/docker-tls-tcp.socket to make Docker available on a secured TCP socket on port 2376.

[Unit]
Description=Docker Secured Socket for the API

[Socket]
ListenStream=2376
BindIPv6Only=both
Service=docker.service

[Install]
WantedBy=sockets.target

Then enable this new socket:

systemctl enable docker-tls-tcp.socket
systemctl stop docker
systemctl start docker-tls-tcp.socket

Drop-in configuration

Create /etc/systemd/system/docker.service.d/10-tls-verify.conf drop-in for systemd Docker service:

[Service]
Environment="DOCKER_OPTS=--tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server.pem --tlskey=/etc/docker/server-key.pem"

Reload systemd config files and restart docker service:

sudo systemctl daemon-reload
sudo systemctl restart docker.service

三、配置Portainer远程TLS连接

证书对应选择:

  1. ca.pem
  2. cert.pem
  3. key.pem

这样就完成了。注意如果之前开启了未认证的2375端口,请关闭并禁用,重启docker服务。

# 停止不安全的2375端口
systemctl stop docker-tcp.socket

# 禁用该端口
systemctl disable docker-tcp.socket

# 重启docker服务
systemctl restart docker.service

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Docker 远程连接 -- dockerd 命令详解

    配置 TLS 实现安全的 Docker 远程连接。 GitHub:https://github.com/khs1994-docker/dockerd-tls 本...

    康怀帅
  • 硬盘安装 CoreOS 三节点集群

    本例在 VirtualBox 虚拟机,以 ISO 或者 PXE 或者 iPXE 模式启动 CoreOS,然后安装到硬盘。 更新记录 2017/12:默认启用 D...

    康怀帅
  • Coreos 安装及配置

    Coreos 安装及配置 本文由Vikings(http://www.cnblogs.com/vikings-blog/) 原创,转载请标明.谢谢! 目前国内...

    随机来个数
  • kubernetes 学习笔记

    1 月初办理了入职手续,所在的团队是搞私有云的,目前只有小规模的应用,所采用 kubernetes + docker 技术栈,年前所做的事情也不算多,熟悉了 k...

    田飞雨
  • Kubernetes架构学习笔记

    Kubernetes是Google开源的容器集群管理系统,其提供应用部署、维护、 扩展机制等功能,利用Kubernetes能方便地管理跨机器运行容器化的应用,是...

    kubernetes中文社区
  • Docker容器实战(三) - Docker的自我重新定位

    Docker公司为什么在Docker项目已经取得巨大成功之后,执意走回已经让无数先驱折戟的PaaS路呢?

    JavaEdge
  • Docker 入门介绍

    Docker简介 ---- Docker是DotCloud开源的、可以将任何应用包装在Linux container中运行的工具。2013年3月发布首个版本,当...

    美团技术团队
  • 【美团技术博客】Docker 入门介绍

    Docker简介 ---- Docker是DotCloud开源的、可以将任何应用包装在Linux container中运行的工具。2013年3月发布首个版本,当...

    美团技术团队
  • 快速理解docker

    image.png 技术源头 简单的说Docker是一个构建在LXC之上的,基于进程容器(Processcontainer)的轻量级VM解决方案,Doc...

    大数据和云计算技术
  • K8S 生态周报| 2019-07-08~2019-07-14

    「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。本周为什么发布时间比往常迟呢?因为上周我...

    Jintao Zhang
  • 【漏洞修复】Docker remote api未授权访问复现和修复

    Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。Dock...

    腾讯云-MSS服务
  • CoreOS Linux引入了Kubernetes kubelet

    CoreOS Linux引入了Kubernetes kubelet     作者:Kelsey Hightower 2015年8月14日  这周我们在 Core...

    财主刀刀
  • 红帽宣布发布企业容器仓库开源项目 Quay

    今天,红帽推出了 Quay 项目的开源项目,该项目是代表 Red Hat Quay 和 Quay.io 的代码的上游项目。根据 Red Hat 的开源承诺,Pr...

    米开朗基杨
  • OWASP移动审计 - Android APK 恶意软件分析应用程序

    MobileAudit - 针对 Android 移动 APK 的 SAST 和恶意软件分析

    Khan安全团队
  • docker 各种参数配置

    Docker 的配置文件可以设置大部分的后台进程参数,在各个操作系统中的存放位置不一致

    全栈程序员站长
  • iPXE 模式启动 CoreOS(简单、推荐使用)

    iPXE 模式启动 CoreOS 方法比较简单,无需配置 PXE 所需的服务器,推荐大家使用。 准备 下载 ipxe.iso $ wget http://boo...

    康怀帅
  • 还不了解 etcd?一文带你快速入门(万字长文)

    2018年12月 etcd 作为孵化项目 CNCF(云原生计算基金会),几天前 CNCF 宣布 etcd 正式毕业,成为 CNCF 顶级项目。CNCF 官方表示...

    aoho求索
  • TLS加密远程连接Docker

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

    程序员欣宸
  • 附004.Docker Compose环境变量说明

    Compose支持在docker-compose执行命令的文件夹中,名为.env的环境变量配置文件声明默认环境变量。

    木二

扫码关注云+社区

领取腾讯云代金券