目錄
- 正文
- Docker 為 TLS 提供兩種模式
- 創建 CA
- 為 daemon 創建密鑰對
- 為客戶端創建密鑰對
- 分發密鑰
- Docker 配置 TLS 模式
正文
Docker 使用了客戶端 — 服務端模型。服務端對外提供 REST API。
默認安裝方式,客戶端和服務端在同一臺主機上,通過本地安全 PIC Socket 進行通信,例如 Linux 中 /var/run/docker.sock。我們還可以配置它們通過網絡進行通信。它們默認網絡配置使用不安全的 HTTP Socket,端口為 2375。
在生產環境這是不能接受的。通過 TLS 的方式連接解決這個問題。生產環境中推薦這種配置,即使在可信內網中,也建議使用該方式!
Docker 為 TLS 提供兩種模式
- daemon 模式:Docker daemon 只接收認證客戶端的請求。
- 客戶端模式:Docker 客戶端只接收認證的 daemon 發起的請求。
同時使用它們,能提供最高的安全等級。
下面開始介紹如何完成 TLS 的配置,總體步驟如下。
- 創建 CA 。
- 為 daemon 創建密鑰對。
- 為客戶端創建密鑰對。
- 分發密鑰
- Docker 配置 TLS 模式
創建 CA
在 node2 運行下面的命令。
- 為 CA 創建私鑰(過程中需要設置密碼)
$ openssl genrsa -aes256 -out ca-key.pem 4096
當前目錄新增一個 ca-key.pem 文件,這是 CA 私鑰。
- 用 CA 私鑰生成公鑰(過程需要輸入之前的密碼)
$ openssl req -new -x509 -days 730 -key ca-key.pem -sha256 -out ca.pem
當前目錄新增一個 ca.pem 文件,這是 CA 公鑰,也叫”證書“。
為 daemon 創建密鑰對
在 node3 運行下面的命令。
- 為 daemon 創建私鑰。
$ openssl genrsa -out daemon-key.pem 4096
當前目錄新增一個 daemon-key.pem 文件,這是 daemon 節點的私鑰。
- 創建證書簽名請求并發送到 CA。
$ openssl req -subj "/CN=daemon" \ -sha256 -new -key daemon-key.pem -out daemon.csr
當前目錄新增一個 daemon.csr 文件,這是 CSR。
為證書添加屬性。 創建文件,名為 extfile.cnf。示例中使用了 daemon 節點的 DNS 名稱和 IP。每個人的環境中可能值不同。
$ subjectAltName = DNS:daemon,IP:192.168.57.3 extendedKeyUsage = serverAuth
- 生成證書 使用 CSR 文件、CA 密鑰、extfile.cnf 文件完成簽名和 daemon 證書配置。
$ openssl x509 -req -days 730 -sha256 \ -in daemon.csr -CA ca.pem -CAkey ca-key.pem \ -CAcreateserial -out daemon-cert.pem -extfile extfile.cnf
此時,已經擁有一個可用 CA ,同時 daemon 的 Node3 節點也有了自己的密鑰。
繼續下面內容前,刪除 CSR 和 extfile.cnf。
$ rm daemon.csr extfile.cnf
為客戶端創建密鑰對
在 node3 運行下面的命令。
為客戶端創建密鑰
$ openssl genrsa -out client-key.pem 4096
當前目錄新增一個 client-key.pem 文件。
創建 CSR。
$ openssl req -subj '/CN=client' -new -key client-key.pem -out client.csr
當前目錄新增一個 client.csr 文件。
創建 extfile.cnf 文件 將證書設置為客戶端認證可用。文件內容如下。
extendedKeyUsage = clientAuth
生成證書 使用 CSR 文件、CA 密鑰、extfile.cnf 文件完成簽名和客戶端證書配置。
$ openssl x509 -req -days 730 -sha256 \ -in client.csr -CA ca.pem -CAkey ca-key.pem \ -CAcreateserial -out client-cert.pem -extfile extfile.cnf
刪除 CSR 和 extfile.cnf ,因為不會用到它們了。 $ rm client.csr extfile.cnf
此時,在工作目錄下應該有如下 7 個文件。
ca-key.pem ca.pem ca.srl client-cert.pem client-key.pem daemon-cert.pem daemon-key.pem
分發密鑰
- 從 CA (剛才證書生成的 node) 復制 ca.pem、daemon-cert.pem、daemon-key.pem 到 node3(daemon 節點)。
- 從 CA (剛才證書生成的 node) 復制 ca.pem、client-cert.pem、client-key.pem 到 node1(客戶端節點)。
這里用 scp 完成復制操作。在 scp 的過程中對部分文件進行了重命名。重命名非常重要,因為 Docker 對文件命名有規范。
// Daemon files $ scp ./ca.pem ubuntu@daemon:/home/ubuntu/.docker/ca.pem $ scp ./daemon-cert.pem ubuntu@daemon:/home/ubuntu/.docker/cert.pem $ scp ./daemon-key.pem ubuntu@daemon:/home/ubuntu/.docker/key.pem // Client files $ scp ./ca.pem ubuntu@client:/home/ubuntu/.docker/ca.pem $ scp ./client-cert.pem ubuntu@client:/home/ubuntu/.docker/cert.pem $ scp ./client-key.pem ubuntu@client:/home/ubuntu/.docker/key.pem
Docker 配置 TLS 模式
進入 Node3(daemon 節點)完成下面的配置。
找到 daemon.json 配置文件。在 Linux 上位于 /etc/docker,編輯 daemon.json 文件,添加如下行。
"tls": true, "tlsverify": true, "tlscacert": "/home/ubuntu/.docker/ca.pem", "tlscert": "/home/ubuntu/.docker/cert.pem", "tlskey": "/home/ubuntu/.docker/key.pem", "hosts": ["tcp://你的 daemon 的IP:2376"]
這些 daemon.json 中的參數意義如下。
- tlsverify :開啟 TLS 認證。
- tlscacert :指定daemon可信任的 CA。
- tlscert :向 Docker 指定 daemon 證書的位置。
- tlskey :向 Docker 指定daemon私鑰的位置。
- hosts :向 Docker 指定需要綁定 daemon 的具體 Socket。
警告:部分版本的 Linux 系統運行 systemd 的,不允許在 daemon.json 中使用“hosts”選項。替換方案是在 systemd 配置文件中進行重寫。創建名為 /etc/systemd/system/docker.service.d/override.conf 的新文件。在其中加入下列 3 行內容,然后保存。
[Service] ExecStart= ExecStart=/usr/bin/dockerd -H tcp://你的 daemon 的IP:2376”
重啟 daemon 。
$ systemctl daemon-reload $ systemctl restart docker.service
如果重啟失敗且錯誤為
docker.service: Main process exited, code=exited, status=1/FAILURE
為了讓它工作,編輯 /lib/systemd/system/docker.service
,修改如下內容之后再次嘗試重啟。
# 修改前: ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock # 修改后: ExecStart=/usr/bin/dockerd --containerd=/run/containerd/containerd.sock
理論上,/etc/systemd/system/docker.service.d/override.conf
與 /etc/docker/daemon.json
可以同時修改,但是并不建議這么做,如果僅修改 /etc/docker/daemon.json
沒有出現任何問題,那就太棒了。
進入 Docker 客戶端節點,配置臨時環境變量。
$ export DOCKER_HOST=tcp://你的 daemon IP 地址:2376
嘗試運行 $ docker version
,會出現錯誤,類似無法連接 daemon。接著設置另一個環境變量。
$ export DOCKER_TLS_VERIFY=1
它是告知 Docker 客戶端使用證書對全部命令進行簽名,此時再試試 $ docker version
!