2. 程式人生 > >docker集群(二)--portainer+TLS安全連接docker主機(詳細介紹與使用心得)

docker集群(二)--portainer+TLS安全連接docker主機(詳細介紹與使用心得)

阿新 發佈:2018-10-11
chm log usr tls term 參考 正常 pac 文件中

http://blog.51cto.com/mysky0708/2298049
承接上文,在生產中如何安全的鏈接docker主機呢?我們采用TLS秘鑰方式。
步驟:
第一部分:首先在docker主機上生成秘鑰,保存到指定地方;
第二部分:在管理節點(portainer)上,指定上述秘鑰,添加節點。

具體實施過程:
第一部分代碼如下

read -s PASSWORD   //定義一個密碼變量
read SERVER   //註意主機名變量要與系統對應
cd /etc/docker   //切換到生產密鑰的目錄
openssl genrsa -aes256 -passout pass:$PASSWORD -out ca-key.pem 2048
openssl genrsa -out server-key.pem 2048
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server.csr
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem //註意主機名要與為上面的SERVER變量一致
openssl x509 -req -days 365 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial -out server-cert.pem
openssl genrsa -out key.pem 2048
openssl req -subj ‘/CN=client‘ -new -key key.pem -out client.csr
sh -c ‘echo "extendedKeyUsage=clientAuth" > extfile.cnf‘
openssl x509 -req -days 365 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem -extfile extfile.cnf
chmod 0400 ca-key.pem key.pem server-key.pem   //更改密鑰權限
chmod 0444 ca.pem server-cert.pem cert.pem   //更改密鑰權限
rm client.csr server.csr   //刪除無用文件
sz {ca.pem,cert.pem,key.pem}  //下載秘鑰文件
/usr/bin/dockerd --tls \  //關閉docker,再運行此命令
--tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H 0.0.0.0:2376

原文參考:https://blog.csdn.net/bc_aptx4869/article/details/74984171

第二部分在管理節點添加docker主機

  • 在hosts文件中添加docker主機名(SERVER變量)與對應ip地址
  • 將{ca.pem,cert.pem,key.pem} 上傳到指定位置

  • 測試是否聯通

    docker --tlsverify --tlscacert=/root/76/ca.pem --tlscert=/root/76/cert.pem --tlskey=/root/76/key.pem -H docker-node01:2376 version
Client:
Version:         1.13.1
API version:     1.26
Package version: docker-1.13.1-74.git6e3bb8e.el7.centos.x86_64
Go version:      go1.9.4
Git commit:      6e3bb8e/1.13.1
Built:           Tue Aug 21 15:23:37 2018
OS/Arch:         linux/amd64

Server:
Version:         1.13.1
API version:     1.26 (minimum version 1.12)
Package version: docker-1.13.1-74.git6e3bb8e.el7.centos.x86_64
Go version:      go1.9.4
Git commit:      6e3bb8e/1.13.1
Built:           Tue Aug 21 15:23:37 2018
OS/Arch:         linux/amd64
Experimental:    false
  • 添加至portainer
    技術分享圖片

最後總結一下使用情況:

  • 優點:比較安全的管理docker主機
  • 缺點:
    • 使用TLS方式(啟動docker)與正常啟動,只能二選一,兩者不能並存。也就意味著使用TLS無法在docker主機上運行docker命令;
    • 使用TLS方式,無法在portainer上啟動之前(正常啟動下)的容器,只能重新建立;
    • 使用TLS方式,無法使用dockerfile創建容器(至少我目前沒找到方法。。)

歡迎大家多多給予修正與補充~~

docker集群(二)--portainer+TLS安全連接docker主機(詳細介紹與使用心得)

相關推薦

docker--portainer+TLS全連docker主機詳細介紹使用心得

chm log usr tls term 參考 正常 pac 文件中 http://blog.51cto.com/mysky0708/2298049承接上文,在生產中如何安全的鏈接docker主機呢?我們采用TLS秘鑰方式。步驟:第一部分:首先在docker主機上生成秘鑰,

DockerDocker管理之Compose

png eas version pull 是否 com a star reat volume 1、Compose安裝   curl -L https://github.com/docker/compose/releases/download/1.1.0/docker-com

docker--簡單應用portainer

總結 fig .so .com 主頁 per mage echo ima 本文講述docker簡單搭建集群,僅用到了portainer工具。主要有兩點,一點是在docker主機上開啟2375端口;一點是在portainer上添加該主機。 步驟: 前提(系統為centos7

docker docker1.7centos6.8 離線安裝

centos6 指定 service 分享 proc ron docke root 機器 一切都以客戶為上帝,相信做實施的都遇到過,客戶給的環境都是不讓連接互聯網的,是企業內網,那麽離線安裝docker就變的必要了。 1.首先說可以聯網的安裝docker yum insta

Docker十三:OpenStack部署Docker實戰

-a 模塊 -1 -name nbsp col arm ons http 1、介紹   本教程使用Compose、Machine、Swarm工具把WordPress部署在OpenStack上。   本節采用Consul作為Swarm的Discovery Service模塊,

Hadoop搭建Linux虛擬機

AI .org vmware 完成 devices 所有 版本選擇 windows 點擊 搭建Linux虛擬機 VMware虛擬機安裝Linux 系統 1、首先打開網易開源鏡像站: http://mirrors.163.com/ 當然,大家也可以使用阿裏開源鏡像站

docker環境準備centos6.8

chkconfig com images start roc 防火墻 ext 使用 ping通 docker作為容器管理好處沒必要說了,買本書一看,說的很清楚,已經刻不容緩。剛好項目需要,從頭走了一遍,發出來供一起學習。比較討厭的是,客戶給的環境就是centos6.8版本,

Redis Cluster搭建後,客戶端的連研究Spring/Jedis待實踐

turn ron 記錄 redis div println 刪除 clu name 說明:無論是否已經搭建好集群,還是使用什麽樣的客戶端去連接,都是必須把全部IP列表集成進去,然後隨機往其中一個IP寫。 這樣做的好處: 1、隨機IP寫入之後,Redis Cluster代

Redis中,是選擇奇數節點還是偶數節點?理論

redis集群奇數節點 redis集群偶數節點 redis集群中奇數節點和偶數節點 我們來通過一組組示例進行分析: 3節點環境:1個master、2個slave 存儲空間:最大等於1個節點的容量。(如果是2個master的話,那麽數據會丟失一部分) 冗余性:允許1

Docker管理工具-Kubernetes部署記錄

kafka 並發 direct 操作 airbnb 127.0.0.1 engine address uri Kubernetes介紹Kubernetes是Google開源的容器集群管理系統,是基於Docker構建一個容器的調度服務,提供資源調度、均衡容災、服務註冊、動態擴

docker部署:第3部分:服務

註意 sources 計算 error compose image 共享端口 port url docker集群部署:第3部分:服務 介紹在第3部分中,我們將擴展應用程序並實現負載平衡。 關於服務在分布式應用程序中,應用程序的不同部分被稱為“服務”。例如,一個視頻共享站點

Docker管理Swarm數據持久化

重啟 3.1 重要 格式 dock 啟動 eat null .com 一、前言   和docker容器一樣,Swarm集群中運行的服務也能夠做數據持久化。我們可以通過volume、bind和nfs等方式來實現swarm集群應用數據的持久化。其實和docker數據持久化的形

基於kubernetes構建Docker環境實戰

基於kubernetes構建Dockerkubernetes是google公司基於docker所做的一個分布式集群,有以下主件組成  etcd: 高可用存儲共享配置和服務發現,作為與minion機器上的flannel配套使用,作用是使每臺 minion上運行的docker擁有不同的ip段,最終目的是使不同mi

hadoop docker搭建

-m 分享圖片 tmp second source keys 一個 oop utils 獲取鏡像 #本機內 docker pull ubuntu:16.04 編排鏡像 啟動一個容器 #本機內 docker run -i -t --name master ubuntu:16

Elk+filebeat收集dockerswarm中的nginx和tomcat容器的日誌信息

system 現在 mct ebe ack agent pda number tomcat容器 前言: 之前有說過elk收集nginx日誌,現在來說一下收集容器集群的日誌收集Elk的安裝這裏不在說了,上來直接懟,這裏是elk的服務器:的服務狀態:以及端口 Logstash

Yum安裝mesos+zookeeper+marathon管理docker

tick datadir 參加 重定向 狀態信息 實現 官方 tro ln -s Yum安裝mesos+zookeeper+marathon管理docker集群 Apache-Mesos簡介 Apache-Mesos是一款基於多資源(內存、CPU、磁盤、端口等)調度的開源

tcp的半連全連隊列

sysctl trie 繼續 發送 標識 環境 完成 ipv html 隊列及參數 server端的半連接隊列(syn隊列) 在三次握手協議中,服務器維護一個半連接隊列,該隊列為每個客戶端的SYN包開設一個條目(服務端在接收到SYN包的時候,就已經創建了request_s

Swarm實現Docker的搭建和管理。

ins ntpd mage 不同的 解決 task 時間 text 服務的啟動 1.Swarm是一個由Docker開發的調度框架。 (圖網上找的) 2.負載均衡: Docker稱之為入口負載均衡(ingress load balancing)。它的工作方式是,所有work

Linux伺服器系統()

 LVS叢集的體系結構 章文嵩 ([email protected]) 2002 年 4 月 本文主要介紹了LVS叢集的體系結構。先給出LVS叢集的通用體系結構,並討論了其的設計原則和相應的特點;最後將LVS叢集應用於建立可伸縮的Web、Media、Cache

7-5 還原叉樹 25 分叉樹,根據 中序遍歷 和 先序遍歷

7-5 還原二叉樹 (25 分) 給定一棵二叉樹的先序遍歷序列和中序遍歷序列,要求計算該二叉樹的高度。 輸入格式: 輸入首先給出正整數N(≤50),為樹中結點總數。下面兩行先後給出先序和中序遍歷序列,均是長度為N的不包含重複英文字母(區別大小寫)的字串。 輸出格式: