Docker 开启远程安全访问

这篇具有很好参考价值的文章主要介绍了Docker 开启远程安全访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

说明

如果你的服务器是公网IP,并且开放了docker的远程访问,如果没有进行保护是非常危险的,任何人都可以向你的docker中推送镜像、运行实例。我曾开放过阿里云服务器中docker的远程访问权限,在没有开启保护的状态下,几小时内就被植入了挖矿程序,导致CPU的占用率一直在100%,最终只能将服务器重置。

接下来我们介绍一下如何利用CA证书,安全的开启Docker的远程,通过TLS进行加密访问。

本文适用于部署在公网的服务器(包括云服务器),安全的开启docker远程访问。本文并不适用于局域网或虚拟机的加密。

详细步骤

下面我们介绍一个如何配置CA证书

1、先创建一个目录存放ca私钥和公钥

mkdir -p /usr/local/ca

2、进入此目录 准备生成密钥

cd /usr/local/ca

3、生成RSA私钥

运行下面命令时,会提示输入密码,输入两次一致即可。

openssl genrsa -aes256 -out ca-key.pem 4096

4、以上面生成的RSA密钥创建证书

运行此命令后,会提示输入国家、省、市、组织名称、单位、邮箱等资料。

国家只能是两位,例如:CN,其他的随便填写即可。

openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem

5、生服务端的RSA私钥

openssl genrsa -out server-key.pem 4096

6、生成服务端的证书签名

/CN=服务器IP 此处配置你的服务器IP,这里只能是公网IP或域名!

openssl req -subj "/CN=服务器IP" -sha256 -new -key server-key.pem -out server.csr

7、配置白名单

DNS: 此处配置你的服务器IP,这里只能是公网IP或域名!

IP: 此处配置允许访问的IP,可以配置多个,以逗号间隔即可。此处也同样是支支持公网IP。如果允许任何携带证书的人访问,直接修改为0.0.0.0即可

echo subjectAltName = DNS:服务器域名,IP:0.0.0.0 >> extfile.cnf

注意这里如果用服务器ip,则要将DNS改为IP,既:

echo subjectAltName = IP:服务器IP,IP:0.0.0.0 >> extfile.cnf

8、为extfile.cnf追加属性

此属性用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

9、生成签名过的客户端证书

期间会要求输入密码,输入和上面一致即可

openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

10、生成客户端的RSA私钥

openssl genrsa -out key.pem 4096

11、生成client.csr

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

12、为extfile.cnf添加认证参数

echo extendedKeyUsage = clientAuth >> extfile.cnf

13、为extfile-client.cnf添加认证参数

echo extendedKeyUsage = clientAuth > extfile-client.cnf

14、生成签名证书

openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

15、删除无用的配置文件

rm -v client.csr server.csr extfile.cnf extfile-client.cnf

16、将服务端证书放到docker的目录

cp server-*.pem /etc/docker/

17、将服务端证书放到docker的目录

cp ca.pem /etc/docker/

18、修改docker配置文件

vi /lib/systemd/system/docker.service

19、替换ExecStart属性

ExecStart=/usr/bin/dockerd \
--tlsverify --tlscacert=/usr/local/ca/ca.pem \
--tlscert=/usr/local/ca/server-cert.pem \
--tlskey=/usr/local/ca/server-key.pem \
-H tcp://0.0.0.0:2375 \
-H unix:///var/run/docker.sock

20、更新配置文件并重启docker

systemctl daemon-reload && systemctl restart docker

21、对docker端口2375放行 如果是云服务器 需要在其管理页面中对应开启端口访问

firewall-cmd --zone=public --add-port=2375/tcp

22、测试

访问https://ip:2375/version,如果提示需要证书即标识配置成功

23、使用IDEA连接

将ca-key.pem、ca.pem、cert.pem、key.pem四个文件拷贝到要访问docker的客户端。

在IDEA中,将Engine API URL中的TCP协议修改为https

在IDEA的Certificates folder中配置拷贝了四个文件的目录 点击apply,出现Connection successful即为成功!

Docker 开启远程安全访问,docker,安全,容器文章来源地址https://www.toymoban.com/news/detail-861273.html

到了这里,关于Docker 开启远程安全访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 配置开启Docker2375远程连接与解决Docker未授权访问漏洞

    首先 需要安装docker ,参考我这篇文章:基于CentOS7安装配置docker与docker-compose 配置开启Docker远程连接的步骤 : 1-编辑/usr/lib/systemd/system/docker.service 文件 : 配置完成后完整的 docekr.service : systemctl daemon-reload 与systemctl restart docker : systemctl status docker : 查看docker状态 (后面增加的内

    2024年02月05日
    浏览(11)
  • Mac下Docker Desktop安装命令行工具、开启本地远程访问

    Mac系统下,为了方便在terminal和idea里使用docker,需要安装docker命令行工具,和开启Docker Desktop本地远程访问。 具体方法是在 设置-高级 下, 1.将勾选的User调整为System,这样不用手动配置PATH即可使用docker命令 2.勾选“Allow the default Docker socket to be used (requires password)”,开启Do

    2024年02月03日
    浏览(13)
  • 如何使用Docker构建Nacos容器并实现固定公网地址远程访问

    Nacos是阿里开放的一款中间件,也是一款服务注册中心,它主要提供三种功能:持久化节点注册,非持久化节点注册和配置管理。 本例通过结合Cpolar内网穿透实现远程访问Nacos 提供的UI (控制台)界面,帮助管理所有的服务和应用的配置 Cpolar内网穿透是一种安全的内网穿透云服务

    2024年01月17日
    浏览(15)
  • vscode远程访问内网服务器中docker容器小白教程

    前言: 我的本意是想用vscode调试学术版gpt的翻译功能,给它加一个自适应的系统提示词。 然而为了这个调试,我付出了太多,怎么这么多弯路要走~ 首先,Windows直接用docker+wsl2调试实在是太痛苦,之前wsl2已经崩溃两次,所以我不得不把程序放在Ubuntu的台式机上。 然而我自己

    2024年04月28日
    浏览(6)
  • Docker容器的可视化管理工具—DockerUI本地部署与远程访问

    DockerUI是一个docker容器镜像的可视化图形化管理工具。DockerUI可以用来轻松构建、管理和维护docker环境。它是完全开源且免费的。基于容器安装方式,部署方便高效,浏览和维护docker单节点或集群节点worker和manager。DockerUI具有易于使用的界面。它不需要记住 docker 指令。只需下

    2024年02月05日
    浏览(18)
  • Docker安全开放远程访问连接权限

    Docker服务完全开放对外访问权限操作如下: 出现如下信息则代表修改Docker服务设置远程访问成功。 特别注意的点: 完全开放Docker对外访问权限有可能会遭到别人攻击,这是很不安全的,只要别人知道你的服务器地址就能够随意连接你的Docker服务,而不需要任何认证,因此,

    2024年02月12日
    浏览(12)
  • 如何在Docker中搭建MinIO容器并实现无公网ip远程访问本地服务

    MinIO是一个开源的对象存储服务器,可以在各种环境中运行,例如本地、Docker容器、Kubernetes集群等。它兼容Amazon S3 API,因此可以与现有的S3工具和库无缝集成。MinIO的设计目标是高性能、高可用性和可扩展性。它可以在分布式模式下运行,以满足不同规模的存储需求。 MinIO是

    2024年01月17日
    浏览(19)
  • 如何在群辉NAS使用Docker搭建容器魔方并实现无公网ip远程访问

    本文主要介绍如何在群辉7.2版本中使用Docker安装容器魔方,并结合Cpolar内网穿透工具实现远程访问本地网心云容器魔方界面. 容器魔方是由网心云推出的一款Docker容器镜像软件,通过简单安装后即可快速加入网心云共享计算生态网络,为网心科技星域云贡献带宽和存储资源,

    2024年02月02日
    浏览(32)
  • 如何在CentOS使用Docker搭建MinIO容器并实现无公网ip远程访问本地服务

    MinIO是一个开源的对象存储服务器,可以在各种环境中运行,例如本地、Docker容器、Kubernetes集群等。它兼容Amazon S3 API,因此可以与现有的S3工具和库无缝集成。MinIO的设计目标是高性能、高可用性和可扩展性。它可以在分布式模式下运行,以满足不同规模的存储需求。 MinIO是

    2024年04月15日
    浏览(12)
  • 如何在CentOS使用Docker运行Nacos容器并实现无公网IP远程访问UI界面

    Nacos是阿里开放的一款中间件,也是一款服务注册中心,它主要提供三种功能:持久化节点注册,非持久化节点注册和配置管理。 本例通过结合Cpolar内网穿透实现远程访问Nacos 提供的UI (控制台)界面,帮助管理所有的服务和应用的配置 Cpolar内网穿透是一种安全的内网穿透云服务

    2024年04月17日
    浏览(12)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包