TLS加密远程连接Docker

《Docker远程连接设置》一文讲述了开启Docker远程连接的方法，但那种方法不安全，因为任何客户端都可以通过Docker服务的IP地址连接上去，今天我们就来学习Docker官方推荐的安全的远程连接方式：TLS加密连接，通过证书来保证安全性。

官方文档

这里是官方的权威文档：https://docs.docker.com/engine/security/https/

环境信息

本次实战的环境信息如下：

1. Docker服务所在机器（下面以A机器表示）：CentOS Linux release 7.6.1810
2. Docker服务版本：1.13.1
3. 另一台验证远程连接的机器（下面以B机器表示）也是CentOS 7.6，其上安装了Docker client 1.13.1

操作步骤

本次实战的操作步骤如下：

1. 制作证书，包括CA、服务端、客户端的；
2. 设置机器A上的Docker服务的TLS连接；
3. 从机器B远程连接机器A上的Docker服务；

制作证书（A机器）

1. 在Linux服务器上建一个目录，进入此目录，我这里是<font color="blue">/root/work</font>
2. 创建根证书RSA私钥：

openssl genrsa -aes256 -out ca-key.pem 4096

1. 页面提示<font color="blue">Enter pass phrase for ca-key.pem</font>，此时输入秘钥的密码，我这里输入了<font color="blue">1234</font>，回车后会要求再输入一次，两次密码一致就会在当前目录生成CA秘钥文件<font color="blue">ca-key.pem</font>;
2. 以此秘钥创建CA证书，自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发：

openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

此时生成的<font color="blue">ca.pem</font>文件就是CA证书； 5. 创建服务端私钥：

openssl genrsa -out server-key.pem 4096

此时生成的<font color="blue">server-key.pem</font>文件就是服务端私钥； 6. 生成服务端证书签名请求(csr即certificate signing request，里面包含公钥与服务端信息)

openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

此时生成的<font color="blue">server.csr</font>文件就是服务端证书； 7. 生成签名过的服务端证书（期间会要求输入密码1234）：

openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

此时生成的<font color="blue">server-cert.pem</font>文件就是已盖章生效的服务端证书； 8. 生成客户私钥：

openssl genrsa -out key.pem 4096

此时生成的<font color="blue">key.pem</font>文件就是客户私钥； 9. 生成客户端证书签名请求：

openssl req -subj "/CN=client" -new -key key.pem -out client.csr

此时生成的<font color="blue">client.csr</font>文件就是客户端证书签名请求； 10. 生成名为<font color="blue">extfile.cnf</font>的配置文件：

echo extendedKeyUsage=clientAuth > extfile.cnf

1. 生成签名过的客户端证书（期间会要求输入密码1234）：

openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

1. 将多余的文件删除：

rm -rf ca.srl client.csr extfile.cnf server.csr

1. 此时还剩以下文件：

文件名	作用
ca.pem	CA机构证书
ca-key.pem	根证书RSA私钥
cert.pem	客户端证书
key.pem	客户私钥
server-cert.pem	服务端证书
server-key.pem	服务端私钥

至此，所有证书文件制作完成，接下来对Docker做TLS安全配置；

Docker的TLS连接设置（A机器）

1. 打开文件<font color="blue">/lib/systemd/system/docker.service</font>，找到下图红框中的内容：
2. 将上图红框中的一整行内容替换为以下内容：

ExecStart=/usr/bin/dockerd-current --tlsverify --tlscacert=/root/work/ca.pem --tlscert=/root/work/server-cert.pem --tlskey=/root/work/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock \

1. 加载上述配置，再重启docker服务：

systemctl daemon-reload && systemctl restart docker

配置完成，接下来验证远程TLS连接。

验证远程TLS连接（B机器）

1. 假设前面我们操作的电脑为A，IP地址是<font color="blue">192.168.121.138</font>；
2. 现在再准备一台电脑B，IP地址是<font color="blue">192.168.121.132</font>，用来验证TLS加密远程连接A上的Docker；
3. 在A机器执行以下命令，将A上的<font color="blue">ca.pem、cert.pem、key.pem</font>这三个文件复制到B机器的<font color="blue">/root/work</font>目录(请提前建好此目录)：

scp /root/work/ca.pem root@192.168.121.132:/root/work \
&& scp /root/work/cert.pem root@192.168.121.132:/root/work \
&& scp /root/work/key.pem root@192.168.121.132:/root/work

1. 在制作证书时没有允许通过IP访问服务端，所以B在连接A的Docker时不能直接用A的IP，所以要用host来访问A，给B电脑增加一个host配置(如果B电脑是Linux，就在/etc/hosts文件上配置)：

192.168.121.138 docker-daemon

1. 在B上执行以下命令，即可连接A的Docker服务：

docker --tlsverify --tlscacert=/root/work/ca.pem --tlscert=/root/work/cert.pem --tlskey=/root/work/key.pem -H tcp://docker-daemon:2376 version

控制台显示以下信息，其中Server部分就是A机器的Docker信息：

Client:
 Version:         1.13.1
 API version:     1.26
 Package version: docker-1.13.1-102.git7f2769b.el7.centos.x86_64
 Go version:      go1.10.3
 Git commit:      b2f74b2/1.13.1
 Built:           Wed May  1 14:55:20 2019
 OS/Arch:         linux/amd64

Server:
 Version:         1.13.1
 API version:     1.26 (minimum version 1.12)
 Package version: docker-1.13.1-102.git7f2769b.el7.centos.x86_64
 Go version:      go1.10.3
 Git commit:      7f2769b/1.13.1
 Built:           Mon Aug  5 15:09:42 2019
 OS/Arch:         linux/amd64
 Experimental:    false

1. 不用证书连接试试，各种尝试都失败了：

[root@centos7 work]# docker -H tcp://192.168.121.138:2375 images
Cannot connect to the Docker daemon at tcp://192.168.121.138:2375. Is the docker daemon running?
[root@centos7 work]# docker -H tcp://docker-daemon:2375 images
Cannot connect to the Docker daemon at tcp://docker-daemon:2375. Is the docker daemon running?
[root@centos7 work]# docker -H tcp://192.168.121.138:2376 images
Get http://192.168.121.138:2376/v1.26/images/json: net/http: HTTP/1.x transport connection broken: malformed HTTP response "\x15\x03\x01\x00\x02\x02".
* Are you trying to connect to a TLS-enabled daemon without TLS?
[root@centos7 work]# docker -H tcp://docker-daemon:2376 images
Get http://docker-daemon:2376/v1.26/images/json: net/http: HTTP/1.x transport connection broken: malformed HTTP response "\x15\x03\x01\x00\x02\x02".
* Are you trying to connect to a TLS-enabled daemon without TLS?

至此，TLS加密远程连接Docker的实战就完成了，希望您在设置安全的Docker远程连接是，本文能给您提供参考。

原文出处：https://www.cnblogs.com/bolingcavalry/p/11482827.html

来源：oschina

链接：https://my.oschina.net/u/4407741/blog/3253762