Docker开启并配置远程安全访问

Docker开启并配置远程安全访问

2024-12-27 04:36

在工作学习中，为了提高项目部署效率，一般会在Idea中直接使用Docker插件连接服务器Docker容器，然后将项目打包与DockerFile一起build成Docker镜像部署运行。但是不可能服务器总是跟着主机的，因此呢时常会面临的一个问题就是从A端访问B端服务器上的Docker从而引发的Docker的远程访问问题。

由于在默认情况下，Docker的守护进程会生成一个socket文件来进行本地进程通信，而不会监听任何端口，因此大多数情况下我们只能在本地使用docker客户端或者使用Docker API进行操作。如果想在其他主机上操作Docker主机，就需要让Docker守护进程监听一个端口，这样才能实现远程通信。

但需要注意的是不要将此方式用在外部网络环境，以免带来安全问题，因为在外部网络环境下暴露端口是很危险的事，别人随时能攻击甚至窃取你的数据。因此官方也给出了详细警告及处理信息：

下面，我们一步一步来~

根据官网方法，进入docker.service文件，编辑并在ExecStart上添加配置 -H tcp://127.0.0.1:2375

这里相当于开放了2375端口，因此除了配置文件以外还要在防火墙开放端口，云服务器还需要开放端口策略等等。

重启服务使得更改后的配置生效，并查看docker启动状态

1，在指定文件夹新建一个存放CA密钥的文件夹，笔者这里再docker文件下存放。

2，在Docker主机上通过命令生成CA私钥和公钥

执行命令：openssl genrsa -aes256 -out ca-key.pem 4096

这里需要输入密码并确认，只要两次输入一致就行，否则会像重置密码数据两次新密码一样报验证错误。需要注意的是：Linux上并不会显示输入的密码信息，因此要格外注意别输错了。

如果成功，该文件下就有了pem证书文件生成：

3，补全CA信息

执行命令：openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem根据要求依次输入访问密码、国家、省、市、组织名称、单位名称、随便一个名字、邮箱等，需要这些信息作为证书申请。

现在我们有了CA，就可以创建服务器密钥和证书签名请求（CSR）。

Tips：确保“Common Name”与用于连接Docker的主机名匹配，否则后续远程连接会失败！

4，生成service-key.pem

执行命令：openssl genrsa -out server-key.pem 4096

5，用CA签署公钥

由于TLS连接可以通过IP地址和DNS名称进行，因此在创建证书时需要指定IP地址或者域名。填写的或者域名，都是将来对外开放的地址，也就是用于连接的地址。例如，要允许使用127.0.0.1进行连接：

执行命令：openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

6，匹配白名单

设置允许哪些可以远程连接。

允许指定可以远程连接。
是你的或者域名，使用时将替换为自己的或者域名。

如：
允许所有连接

设置为即可。

如：
注：只允许永久证书的才可以连接成功

然后需要将Docker守护进程密钥的扩展使用属性设置为仅用于服务器身份验证：

7，生成已签名的证书（signed certificate）

这里执行命令后需要输入之前设置的密码

授权插件提供了更细粒度的控制，以补充来自双向TLS的身份验证。除了上述描述的其他信息外，在Docker守护进程上运行的授权插件还接收用于连接Docker客户端的证书信息。

如果第二次申请颁发证书，可能会出现ca.srl: No such file or directory的问题。

此时我们echo “01” > ca.srl 即可，这个文件影响到ca颁发的证书的序号，而证书序号应该是唯一的，所以这点需要控制好。

8，生成客户端key

对于客户端身份验证，我们还需要创建客户端密钥和证书签名请求：

注意：为了简化接下来的几个步骤，我们可以在Docker守护进程的主机上执行此步骤。

此外为了使密钥适合客户端身份验证，还需要创建一个新的扩展配置文件：

然后就可以生成已签名的客户端key了。

此时可以看到我们当初创建的ca_key文件里已经有很多文件了。

但是有很多多余的配置文件，生成，后，一些签名请求和扩展配置文件可以安全删除了。

9，修改权限

为了防止密钥文件被误删或者损坏，我们可以改变一下文件权限，让它只读就可以。

为了防止证书损坏，我们也删除它的写入权限。

归集服务器证书

将证书存放在docker配置文件夹下

10,修改Docker配置

这里需要设置的守护程序，让它仅接收来自提供了信任证书的客户端连接。

将属性值进行修改：

重载配置并启动Docker

将服务器中的如下四个证书文件下载到本地，并创建文件夹存放。

然后在IDEA中配置docker证书地址与远程连接配置。证书文件夹就是本地存放那四个证书文件的本地目录。

看到下面的连接成功就证明IDEA已经与远程Docker连接成功，就可以在项目中用Docker进行协同操作了。

看了这么一大串配置流程，一步一步来操作显然非常麻烦，而且大多操作其实完全可以进行封装使用，因此将创建证书的操作用脚本封装起来用才能事半功倍。具体的脚本和使用方法已经放到笔者资源里了。有需求自取即可~