Docker 开启远程安全访问

Docker 开启远程安全访问

说明

如果你的服务器是公网IP,并且开放了docker的远程访问,如果没有进行保护是非常危险的,任何人都可以向你的docker中推送镜像、运行实例。我曾开放过阿里云服务器中docker的远程访问权限,在没有开启保护的状态下,几小时内就被植入了挖矿程序,导致CPU的占用率一直在100%,最终只能将服务器重置。

接下来我们介绍一下如何利用CA证书,安全的开启Docker的远程,通过TLS进行加密访问。

本文适用于部署在公网的服务器(包括云服务器),安全的开启docker远程访问。本文并不适用于局域网或虚拟机的加密。

详细步骤

下面我们介绍一个如何配置CA证书

1、先创建一个目录存放ca私钥和公钥

mkdir -p /usr/local/ca

2、进入此目录 准备生成密钥

cd /usr/local/ca

3、生成RSA私钥

运行下面命令时,会提示输入密码,输入两次一致即可。

openssl genrsa -aes256 -out ca-key.pem 4096

4、以上面生成的RSA密钥创建证书

运行此命令后,会提示输入国家、省、市、组织名称、单位、邮箱等资料。

国家只能是两位,例如:CN,其他的随便填写即可。

openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem

5、生服务端的RSA私钥

openssl genrsa -out server-key.pem 4096

6、生成服务端的证书签名

/CN=服务器IP 此处配置你的服务器IP,这里只能是公网IP或域名!

openssl req -subj "/CN=服务器IP" -sha256 -new -key server-key.pem -out server.csr

7、配置白名单

DNS: 此处配置你的服务器IP,这里只能是公网IP或域名!

IP: 此处配置允许访问的IP,可以配置多个,以逗号间隔即可。此处也同样是支支持公网IP。如果允许任何携带证书的人访问,直接修改为0.0.0.0即可

echo subjectAltName = DNS:服务器IP,IP:0.0.0.0 >> extfile.cnf

8、为extfile.cnf追加属性

此属性用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

9、生成签名过的客户端证书

期间会要求输入密码,输入和上面一致即可

openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

10、生成客户端的RSA私钥

openssl genrsa -out key.pem 4096

11、生成client.csr

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

12、为extfile.cnf添加认证参数

echo extendedKeyUsage = clientAuth >> extfile.cnf

13、为extfile-client.cnf添加认证参数

echo extendedKeyUsage = clientAuth > extfile-client.cnf

14、生成签名证书

openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

15、删除无用的配置文件

rm -v client.csr server.csr extfile.cnf extfile-client.cnf

16、将服务端证书放到docker的目录

cp server-*.pem /etc/docker/

17、将服务端证书放到docker的目录

cp ca.pem /etc/docker/

18、修改docker配置文件

vi /lib/systemd/system/docker.service

19、替换ExecStart属性

ExecStart=/usr/bin/dockerd \
--tlsverify --tlscacert=/usr/local/ca/ca.pem \
--tlscert=/usr/local/ca/server-cert.pem \
--tlskey=/usr/local/ca/server-key.pem \
-H tcp://0.0.0.0:2375 \
-H unix:///var/run/docker.sock

20、更新配置文件并重启docker

systemctl daemon-reload && systemctl restart docker

21、对docker端口2375放行 如果是云服务器 需要在其管理页面中对应开启端口访问

firewall-cmd --zone=public --add-port=2375/tcp

22、测试

访问https://ip:2375/version,如果提示需要证书即标识配置成功

23、使用IDEA连接

将ca-key.pem、ca.pem、cert.pem、key.pem四个文件拷贝到要访问docker的客户端。

在IDEA中,将Engine API URL中的TCP协议修改为https

在IDEA的Certificates folder中配置拷贝了四个文件的目录 点击apply,出现Connection successful即为成功!

快速配置

我帮你整理好了配置证书的所有的命令,可以快速复制下面的命令 进行配置,带注释的行要多留意哦。

mkdir -p /usr/local/ca

cd /usr/local/ca

# 两次一致即可。
openssl genrsa -aes256 -out ca-key.pem 4096

# 以上面生成的RSA密钥创建证书 运行此命令后,会提示输入国家、省、市、组织名称、单位、邮箱等资料。 
# 国家只能是两位,例如:CN,其他的随便填写即可。
openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem

openssl genrsa -out server-key.pem 4096

# /CN=docker.cn 此处配置你的服务器IP,这里只能是公网IP或域名!
openssl req -subj "/CN=服务器IP" -sha256 -new -key server-key.pem -out server.csr

# 配置白名单
# DNS: 此处配置你的服务器IP,这里只能是公网IP或域名!
# IP: 此处配置允许访问的IP,可以配置多个,以逗号间隔即可。此处也同样是支支持公网IP。如果允许任何携带证书的人访问,直接修改为0.0.0.0即可
echo subjectAltName = DNS:服务器IP,IP:0.0.0.0 >> extfile.cnf

echo extendedKeyUsage = serverAuth >> extfile.cnf

# 输入和上面一致即可
openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

openssl genrsa -out key.pem 4096

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

echo extendedKeyUsage = clientAuth >> extfile.cnf

echo extendedKeyUsage = clientAuth > extfile-client.cnf

openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

rm -v client.csr server.csr extfile.cnf extfile-client.cnf

cp server-*.pem /etc/docker/

cp ca.pem /etc/docker/

vi /lib/systemd/system/docker.service

# 替换ExecStart属性
ExecStart=/usr/bin/dockerd \
--tlsverify --tlscacert=/usr/local/ca/ca.pem \
--tlscert=/usr/local/ca/server-cert.pem \
--tlskey=/usr/local/ca/server-key.pem \
-H tcp://0.0.0.0:2375 \
-H unix:///var/run/docker.sock

systemctl daemon-reload && systemctl restart docker

firewall-cmd --zone=public --add-port=2375/tcp

访问https://ip:2375/version,如果提示需要证书即标识配置成功

参考文章:博客园文章 - 原文作者:niceyoo 原文链接:Docker开启远程安全访问

posted @ 2020-08-18 18:04  张瑞丰  阅读(755)  评论(0编辑  收藏  举报