以HTTPS的方式运行docker

保护Docker daemon socket

默认情况下,Docker以一种无网络的Unix socket方式运行。也可以通过选项设置使用HTTPsocket。

如果需要通过网络以一种安全的方式访问Docker,可以通过tlsverify标签来允许TLS,使用tlscacert标签指定可信的CA证书。

在后台守护模式中,仅运行通过CA签名的证书的客户端连接访问。在客户端模式下,仅运行一个通过CA签名了的证书来连接客户端

警告: 管理一个CA与使用TLS是一个高级话题。在生产环境中使用之前,请先去了解OpenSSL, x509与TLS。

警告: 一下TLS命令仅适用于Linux上可用证书的生成。macOS上的有个OpenSSL版本生成的证书与Docker有冲突。

使用OpenSSL创建CA, server与client keys

注意: 使用Docker所在宿主机的DNS名称替换所有以下例子中的$HOST。

  • 生成CA公钥与私钥:
$ openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............................................................................................................................................................................................++
........++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:Queensland
Locality Name (eg, city) []:Brisbane
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc
Organizational Unit Name (eg, section) []:Sales
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []:Sven@home.org.au

现在已经有一个CA,可以创建服务端的密钥与证书签名请求了(certificate signing request CSR)。确保“Common Name” (例如, 服务器的FQDN或者你的名字) 与你需要连接的Docker的宿主机相匹配。

注意: 使用Docker daemon所在主机的DNS名字替换所有以下例子中的$HOST。

$ openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................++
.................................................................................................++
e is 65537 (0x10001)
$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
  • 使用CA签名公钥:

TLS可能来自于某个DNS名字或IP地址,在创建证书的时候需要指明。例如:允许来自10.10.10.20与127.0.0.1的链接。

$ echo subjectAltName = IP:10.10.10.20,IP:127.0.0.1 > extfile.cnf

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=your.host.com
Getting CA Private Key
Enter pass phrase for ca-key.pem:

为了key适合客户端的认证,创建一个扩展配置文件:

$ echo extendedKeyUsage = clientAuth > extfile.cnf

开始签名公钥:

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

当生产cert.pem与server-cert.pem之后,可以可以安全地删除这两个证书签名请求文件(CSR):

$ rm -v client.csr server.csr

默认情况下umask为022,密钥在当前账号与当前组中为可读写。为保护证书,防止意外发生,去掉写的权限。将文件改为只读:

$ chmod -v 0400 ca-key.pem key.pem server-key.pem

现在使得Docker daemon只接受来自提供了CA可信的证书的客户端发出的链接:

$ dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem \
  -H=0.0.0.0:2376

为了可以链接到Docker并认证证书。需要提供客户端证书与可信的CA:

注意: 使用Docker daemon所在主机的DNS名字替换所有以下例子中的$HOST。

$ docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem \
  -H=$HOST:2376 version

注意: Docker使用TLS运行在TCP2376端口上。

警告: 如上面的例子所示,当使用证书认证时,你不需要使用sudo或者docker用户组来运行docker客户端了。意思就是说任何一个持有证书的人都能访问docker deamon,就像root用户访问。保护好这些证书,就如root密码一样。

设置默认加密

如果想docker客户端的链接默认就加密了,可以将这些文件移到当前home目录下的.docker目录里面。或者设置DOCKER_HOST与DOCKER_TLS_VERIFY环境变量(来替换在每次访问中传递-H=tcp://$HOST:2376与–tlsverify)。

$ mkdir -pv ~/.docker
$ cp -v {ca,cert,key}.pem ~/.docker
$ export DOCKER_HOST=tcp://$HOST:2376 DOCKER_TLS_VERIFY=1

Docker后续访问的为默认加密了的

$ docker ps

其他模式

如果不想配置这两步认证方式,还可以通过混合使用flag运行Docker在其他模式下面

Daemon 模式

  • tlsverify, tlscacert, tlscert, tlskey集: 客户端认证
  • tls, tlscert, tlskey: 不认证客户端

客户端模式

  • tls: 基于CA池公钥私钥的服务端认证
  • tlsverify, tlscacert: 给定CA的服务端认证
  • tls, tlscert, tlskey: 基于给定的CA使用客户端证书认证,不进行服务端认证
  • tlsverify, tlscacert, tlscert, tlskey:基于CA的客户端与服务端证书认证。

客户端需要发送客户端证书,只需要将密钥放置~/.docker/{ca,cert,key}.pem即可。或者,如果证书放置在别的位置,只需要通过环境变量DOCKER_CERT_PATH指定具体的路径即可。

$ export DOCKER_CERT_PATH=~/.docker/zone1/
$ docker --tlsverify ps

使用curl链接docker的加密端口

使用curl测试API请求,需要用到如下三个额外的命令行标签:

$ curl https://$HOST:2376/images/json \
  --cert ~/.docker/cert.pem \
  --key ~/.docker/key.pem \
  --cacert ~/.docker/ca.pem
Logo

权威|前沿|技术|干货|国内首个API全生命周期开发者社区

更多推荐