配置
可以在docker启动文件docker.service中加入如下
vi /lib/systemd/system/docker.service
在下面ExecStart 后面添加 -H tcp://0.0.0.0:2375
ExecStart=/usr/bin/dockerd -H fd:// –containerd=/run/containerd/containerd.sock -H unix://var/run/docker.sock -H tcp://0.0.0.0:2375
但是这样直接开放api,不安全,因此就需要指定证书。
修改 ExecStart的值如下:
ExecStart=/usr/bin/dockerd -H fd:// –containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock -D –tlsverify –tlscert=/etc/docker/certs.d/server-cert-docker.pem –tlskey=/etc/docker/certs.d/server-key-docker.pem –tlscacert=/etc/docker/certs.d/ca-docker.pem
客户端在访问docker-api的时候就需要提供证书。
脚本
下面是自动生成docker-api证书的脚本。
利用脚本自动生成,这样非常便捷,脚本(auto_gen_docker_tls_certs.sh)如下:
复制代码
#!/bin/bash
#
# ————————————————————-
# 自动创建 Docker TLS 证书
# ————————————————————-
# 以下是配置信息
# –[BEGIN]——————————
CODE=”docker”
IP=”192.168.31.199″
PASSWORD=”123456″
COUNTRY=”CN”
STATE=”HUNAN”
CITY=”CHANGSHA”
ORGANIZATION=”thyc”
ORGANIZATIONAL_UNIT=”Dev”
COMMON_NAME=”$IP”
EMAIL=”an23gn@163.com”
# –[END]–
# Generate CA key
openssl genrsa -aes256 -passout “pass:$PASSWORD” -out “ca-key-$CODE.pem” 4096
# Generate CA
openssl req -new -x509 -days 365 -key “ca-key-$CODE.pem” -sha256 -out “ca-$CODE.pem” -passin “pass:$PASSWORD” -subj “/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL”
# Generate Server key
openssl genrsa -out “server-key-$CODE.pem” 4096
# Generate Server Certs.
openssl req -subj “/CN=$COMMON_NAME” -sha256 -new -key “server-key-$CODE.pem” -out server.csr
echo “subjectAltName = IP:$IP,IP:127.0.0.1” >> extfile.cnf
echo “extendedKeyUsage = serverAuth” >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in server.csr -passin “pass:$PASSWORD” -CA “ca-$CODE.pem” -CAkey “ca-key-$CODE.pem” -CAcreateserial -out “server-cert-$CODE.pem” -extfile extfile.cnf
# Generate Client Certs.
rm -f extfile.cnf
openssl genrsa -out “key-$CODE.pem” 4096
openssl req -subj ‘/CN=client’ -new -key “key-$CODE.pem” -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin “pass:$PASSWORD” -CA “ca-$CODE.pem” -CAkey “ca-key-$CODE.pem” -CAcreateserial -out “cert-$CODE.pem” -extfile extfile.cnf
rm -vf client.csr server.csr
chmod -v 0400 “ca-key-$CODE.pem” “key-$CODE.pem” “server-key-$CODE.pem”
chmod -v 0444 “ca-$CODE.pem” “server-cert-$CODE.pem” “cert-$CODE.pem”
# 打包客户端证书
mkdir -p “tls-client-certs-$CODE”
cp -f “ca-$CODE.pem” “cert-$CODE.pem” “key-$CODE.pem” “tls-client-certs-$CODE/”
cd “tls-client-certs-$CODE”
tar zcf “tls-client-certs-$CODE.tar.gz” *
mv “tls-client-certs-$CODE.tar.gz” ../
cd ..
rm -rf “tls-client-certs-$CODE”
# 拷贝服务端证书
mkdir -p /etc/docker/certs.d
cp “ca-$CODE.pem” “server-cert-$CODE.pem” “server-key-$CODE.pem” /etc/docker/certs.d/
复制代码
对脚本中的变量进行修改后运行,自动会创建好tls证书,服务器的证书在/etc/docker/certs.d/目录下:
客户端的证书在运行脚本的目录下,同时还自动打好了一个.tar.gz的包,很方便。
重启docker
systemctl daemon-reload && systemctl restart docker
