我们经常会利用Portainer来管理docker环境,也经常会用Jenkins来自动构建和部署docker,远程管理都会使用到Docker API,通常我们只是开启了没有安全保护的2375(通常)端口,这个比较危险,会导致远程劫持攻击。那么我们就需要配置TLS认证的2376(通常)端口。
下面我们针对CoreOS系统进行配置:
一、利用系统自带的openssl生成相应的服务端和客户端证书
我们利用脚本自动生成,这样非常便捷,脚本(auto-tls-certs.sh)如下:
1 |
|
对脚本中的变量进行修改后运行,自动会创建好tls证书,服务器的证书在/etc/docker/certs.d/目录下:
客户端的证书在运行脚本的目录下,同时还自动打好了一个.tar.gz的包,很方便。
二、配置Docker服务(官方说明)
注意修改证书路径。
Enable the secure remote API on a new socket
Create a file called ++/etc/systemd/system/docker-tls-tcp.socket++ to make Docker available on a secured TCP socket on port 2376.
1 | [Unit] |
Then enable this new socket:
1 | systemctl enable docker-tls-tcp.socket |
Drop-in configuration
Create ++/etc/systemd/system/docker.service.d/10-tls-verify.conf++ drop-in for systemd Docker service:
1 | [Service] |
Reload systemd config files and restart docker service:
1 | sudo systemctl daemon-reload |
三、配置Portainer远程TLS连接
证书对应选择:
ca.pem
cert.pem
key.pem
这样就完成了。注意如果之前开启了未认证的2375端口,请关闭并禁用,重启docker服务。
1 | # 停止不安全的2375端口 |