一、了解一下为什么做基于TLS传输协议和CA证书的远程连接

在docker中,默认是不允许远程连接主机容器服务的,在普通的没有进行别的安全防护下开启的远程连接,只要隔壁老王知道你的IP地址再对你端口进行一下扫描尝试,便可以自由进出你的容器的房间,对你的容器们嘿嘿嘿,就问你怕不怕就完事了。 所以如果有需要远程连接docker的需求,就需要基于TLS和CA的认证来保护我方容器不被嘿嘿嘿。

二、生成证书和密钥

安装步骤做

mkdir/root/CA/ && cd /root/CA/      ###自己随便在一个最好空的文件夹里面便可以,我默认是在/opt/ca下面进行操作
openssl genrsa -aes256 -out ca-key.pem 4096  ###输入两次密码,生成CA证书私钥   xxxxxxx
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem ######生成一个有效期365天的CA证书。example输入的依次是CN,Guangdong,Guangzhou...都可以随意填写。
openssl genrsa -out server-key.pem 4096 ###生成服务端私钥
openssl req -subj "/CN=填你自己的公网IP" -sha256 -new -key server-key.pem -out server.csr ###生成服务器端的证书签名请求文件,这个IP是你服务器端的IP地址
echo "subjectAltName = IP:填你自己的公网IP,IP:0.0.0.0" > extfile.cnf ###限制可连接到服务器的IP,这里我默认是0.0.0.0全部允许,有指定服务器连接需求可更改
echo "extendedKeyUsage = serverAuth" >> extfile.cnf ####设置此密钥仅使用于服务器身份验证
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf  ###输入CA私钥密码,生成签名好的服务器端证书
openssl genrsa -out key.pem 4096 ####生成客户端的私钥
openssl req -subj '/CN=client' -new -key key.pem -out client.csr  ###生成客户端的证书签名请求文件
echo "extendedKeyUsage = clientAuth" >> extfile.cnf ###拓展密钥的用途
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf ###输入CA证书私钥密码,生成已签名认证好的客户端证书

三、配置docker启动文件

可以把生成的文件复制到你需要的路径里面 也可以复制到/etc/docker/

cp ./{ca.pem,ca-key.pem,server-cert.pem,server-key.pem,cert.pem,key.pem} /etc/docker/

修改docker启动文件 centos系统是 /usr/lib/systemd/system/docker.service 

vim /usr/lib/systemd/system/docker.service
增加下面参数
ExecStart=/usr/bin/dockerd  --tlsverify --tlscacert=/root/CA/ca.pem --tlscert=/root/CA/server-cert.pem --tlskey=/root/CA/server-key.pem -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2376

ubuntu系统路径:/etc/default/docker 

vim /etc/default/docker
增加修改下面参数
DOCKER_OPTS="--tlsverify --tlscacert=/root/CA/ca.pem --tlscert=/root/CA/server-cert.pem --tlskey=/root/CA/server-key.pem -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2376

然后重启docker

service docker restart

查看端口是否开启2376  这里我只开启了2376端口     注意还有一个2375 我没开  

netstat -anlp|grep 2376

ubuntu14系统Docker的TLS安全远程连接配置_远程连接

显示出着个端口证明配置成功

四、在客户端主机远程连接测试

scp root@你的客户端服务器IP地址:/etc/docker/{ca.pem,cert.pem,key.pem} /etc/docker/    ####从服务器端拉取密钥和证书

这个客户端服务器目录你可以随便放那都可以,也可以放到/etc/docker/  

使用命令测试

命令含义:查看服务端docker镜像

docker --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/cert.pem --tlskey=/etc/docker/key.pem -H tcp://服务端IP地址:2376 images

ubuntu14系统Docker的TLS安全远程连接配置_远程连接_02

可以从客户端 查看到 服务端上docker镜像 

到这里配置Docker的TLS安全结束