保护Docker守护程序套接字 | Protect the Docker daemon socket (Engine)

默认情况下，Docker通过一个非联网的Unix套接字运行。它还可以选择使用HTTP套接字进行通信。

如果您需要以安全的方式通过网络联系到Docker，则可以通过指定tlsverify旗帜和指点码头tlscacert标记为可信CA证书。

在守护进程模式中，它将只允许来自由该CA签名的证书验证的客户端的连接。在客户端模式下，它将只连接到由该CA签名的证书的服务器。

警告使用TLS和管理CA是一个高级主题。在生产中使用OpenSSL、x 509和TLS之前，请熟悉它。警告这些TLS命令将只在Linux上生成一组有效的证书。MacOS附带的OpenSSL版本与Docker所需的证书不兼容。

使用OpenSSL创建CA、服务器和客户端密钥

注*替换所有的实例$HOST在下面的示例中，使用Docker守护进程主机的DNS名称。

首先，在Docker守护进程的主机，生成CA私钥和公钥：

$ openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............................................................................................................................................................................................++
........++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:Queensland
Locality Name (eg, city) []:Brisbane
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc
Organizational Unit Name (eg, section) []:Sales
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []:Sven@home.org.au

现在我们有一个CA，您可以创建一个服务器密钥和证书签名请求（CSR）。确保“Common Name”（即服务器FQDN或您的姓名）与您将用于连接到Docker的主机名匹配：

注*替换所有的实例$HOST在下面的示例中，使用Docker守护进程主机的DNS名称。

$ openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................++
.................................................................................................++
e is 65537 (0x10001)
$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

接下来，我们将使用我们的CA签署公钥：

由于TLS连接可以通过IP地址和DNS名称进行，所以在创建证书时需要指定IP地址。例如，若要允许连接使用10.10.10.20和127.0.0.1*

$ echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 > extfile.cnf

将Docker守护进程密钥的扩展使用属性设置为仅用于服务器身份验证：

$ echo extendedKeyUsage = serverAuth > extfile.cnf

现在，生成密钥：

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=your.host.com
Getting CA Private Key
Enter pass phrase for ca-key.pem:

授权插件提供更细粒度的控制，以补充来自互TLS的身份验证。除了上述文档中描述的其他信息之外，运行在Docker守护进程上的授权插件还接收连接Docker客户端的证书信息。

对于客户端身份验证，创建客户端密钥和证书签名请求：

注：为了简化接下来的几个步骤，您也可以在Docker守护进程的主机上执行这个步骤。

$ openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.........................................................++
................++
e is 65537 (0x10001)
$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

要使密钥适合客户端身份验证，请创建一个扩展名配置文件：

$ echo extendedKeyUsage = clientAuth > extfile.cnf

现在签署私钥：

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

生成后cert.pem和server-cert.pem您可以安全地删除两个证书签名请求：

$ rm -v client.csr server.csr

在默认情况下umask022岁的时候，你的秘密钥匙世界可读性也可以为你和你的团队写。

为了保护您的密钥不受意外损坏，您需要删除它们的写权限。若要使它们仅供您阅读，请按以下方式更改文件模式：

$ chmod -v 0400 ca-key.pem key.pem server-key.pem

证书可以具有世界可读性，但您可能希望删除写入访问，以防止意外损坏：

$ chmod -v 0444 ca.pem server-cert.pem cert.pem

现在，您可以让Docker守护进程只接受来自客户端的连接，这些客户端提供了我们的CA信任的证书：

$ dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem \
  -H=0.0.0.0:2376

要连接到Docker并验证其证书，现在需要提供客户端密钥、证书和可信CA：

注此步骤应在您的Docker客户端计算机上运行。因此，您需要将CA证书、服务器证书和客户端证书复制到该计算机。注*替换所有的实例$HOST在下面的示例中，使用Docker守护进程主机的DNS名称。

$ docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem \
  -H=$HOST:2376 version

注意：通过TLS的Docker应该在TCP端口2376上运行。警告：如上例所示，当您使用证书身份验证时，不必docker使用sudo或docker组运行客户端。这意味着任何拥有密钥的人都可以给你的Docker守护进程提供任何指令，让他们可以访问托管守护进程的机器。保护这些密钥，就像你使用root密码一样！

默认安全

如果您想默认保护您的Docker客户端连接，您可以将文件移动到.docker您的主目录中的目录 - 并设置DOCKER_HOST和DOCKER_TLS_VERIFY变量（而不是传递-H=tcp://$HOST:2376和--tlsverify每次调用）。

$ mkdir -pv ~/.docker
$ cp -v {ca,cert,key}.pem ~/.docker
$ export DOCKER_HOST=tcp://$HOST:2376 DOCKER_TLS_VERIFY=1

默认情况下，Docker现在将安全地连接：

$ docker ps

其他模式

如果您不想拥有完全的双向身份验证，可以通过混合标志在其他各种模式下运行Docker。

守护进程模式

tlsverify，tlscacert，tlscert，tlskey集：验证客户端

tls，tlscert，tlskey：不要验证客户端

客户模式

tls*基于公共/默认CA池的服务器身份验证

tlsverify，tlscacert：根据给定的CA验证服务器

tls，tlscert，tlskey：以验证客户端证书，不验证服务器基于给定CA

tlsverify，tlscacert，tlscert，tlskey：以验证客户端证书并认证服务器基于给定CA

如果找到，客户端将发送其客户端证书，因此您只需将钥匙放入~/.docker/{ca,cert,key}.pem。或者，如果您想将密钥存储在其他位置，则可以使用环境变量指定该位置DOCKER_CERT_PATH。

$ export DOCKER_CERT_PATH=~/.docker/zone1/
$ docker --tlsverify ps

使用`curl`

使用curl要发出测试API请求，需要使用三个额外的命令行标志：

$ curl https://$HOST:2376/images/json \
  --cert ~/.docker/cert.pem \
  --key ~/.docker/key.pem \
  --cacert ~/.docker/ca.pem