Docker開放遠程安全訪問（開啓2376端口和CA認證）

前言

僅僅開放遠程訪問Docker API，這個還不夠的，由於會有安全問題。關於這點，Docker有相關的安全機制，參考官方文檔Protect the Docker daemon socket，大體就是：生成證書，用來達到驗證客戶端身份的目的。

下面是操做步驟：

服務器配置

1. 建立certs文件夾，用來存放CA私鑰和公鑰

mkdir -pv /etc/docker/certs
cd /etc/docker/certs

2. 建立密碼

須要連續輸入兩次相同的密碼

openssl genrsa -aes256 -out ca-key.pem 4096

3. 依次輸入密碼、國家、省、市、組織名稱等（除了密碼外其餘的能夠直接回車跳過）

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

4. 生成server-key.pem

openssl genrsa -out server-key.pem 4096

5. 生成server.csr（把下面的IP換成你本身服務器外網的IP或者域名）

openssl req -subj "/CN=123.123.123.123" -sha256 -new -key server-key.pem -out server.csr

6. 配置白名單

0.0.0.0表示全部ip均可以鏈接。（這裏須要注意，雖然0.0.0.0能夠匹配任意，可是仍須要配置你的外網ip和127.0.0.1，不然客戶端會鏈接不上）

echo subjectAltName = IP:0.0.0.0,IP:123.123.123.123,IP:127.0.0.1 >> extfile.cnf

或者也能夠設置成域名

echo subjectAltName = DNS:www.example.com,IP:123.123.123.123,IP:127.0.0.1 >> extfile.cnf

7. 將Docker守護程序密鑰的擴展使用屬性設置爲僅用於服務器身份驗證

echo extendedKeyUsage = serverAuth >> extfile.cnf

8.輸入以前設置的密碼，生成簽名證書

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

九、生成供客戶端發起遠程訪問時使用的key.pem

openssl genrsa -out key.pem 4096

10. 生成client.csr（把下面的IP換成你本身服務器外網的IP或者域名）

openssl req -subj "/CN=123.123.123.123" -new -key key.pem -out client.csr

11. 建立擴展配置文件，把密鑰設置爲客戶端身份驗證用

echo extendedKeyUsage = clientAuth > extfile-client.cnf

12. 生成cert.pem，輸入前面設置的密碼，生成簽名證書

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

13. 刪除不須要的配置文件和兩個證書的簽名請求

rm -v client.csr server.csr extfile.cnf extfile-client.cnf

14. 爲了防止私鑰文件被更改以及被其餘用戶查看，修改其權限爲全部者只讀

chmod -v 0400 ca-key.pem key.pem server-key.pem

15. 爲了防止##### 公鑰文件被更改，修改其權限爲只讀

chmod -v 0444 ca.pem server-cert.pem cert.pem

16. 修改Docker配置，使Docker守護程序僅接受來自提供CA信任的證書的客戶端的鏈接

拷貝安裝包單元文件到/etc，這樣就不會由於docker升級而被覆蓋

cp /lib/systemd/system/docker.service /etc/systemd/system/docker.service

在ExecStart=/usr/bin/dockerd-current \下面增長

--tlsverify \
--tlscacert=/etc/docker/certs/ca.pem \
--tlscert=/etc/docker/certs/server-cert.pem \
--tlskey=/etc/docker/certs/server-key.pem \
-H tcp://0.0.0.0:2376 \
-H unix:///var/run/docker.sock \

17. 從新加載daemon並重啓docker

systemctl daemon-reload
systemctl restart docker

客戶端配置

1. 建立證書目錄

mkdir -pv ~/.docker/certs/
cd ~/.docker/certs/

2. 將ca.pem cert.pem key.pem這3個文件拷貝到當前目錄

scp ca.pem ./
scp cert.pem ./
scp key.pem ./

3. 使用docker客戶端測試（注意修改證書路徑）

docker --tlsverify \
    --tlscacert=/home/alex/.docker/certs/ca.pem \
    --tlscert=/home/alex/.docker/certs/cert.pem \
    --tlskey=/home/alex/.docker/certs/key.pem \
    -H=123.123.123.123:2376 version

4. 使用curl測試Docker API

curl https://123.123.123.123:2376/images/json \
  --cert ~/.docker/certs/cert.pem \
  --key ~/.docker/certs/key.pem \
  --cacert ~/.docker/certs/ca.pem

5. 配置默認遠程調用服務器docker服務

# 配置~/.zshrc（或者~/.bashrc，根據你的客戶端環境而定），在末尾添加如下幾行
export DOCKER_HOST=tcp://123.123.123.123:2376 DOCKER_TLS_VERIFY=1
export DOCKER_CERT_PATH=~/.docker/certs/
# 而後讓加載到當前會話
source .zshrc
# 測試
docker ps

*務必很是當心保管這些key，它們就跟服務器root密碼同樣重要（衆所周知docker是能夠進行真實主機提權的）