守护加密的 Docker 通讯：如何开启远程连接并实现安全传输

2023-11-24 17:17:50

概述

Docker是一种流行的容器化平台，可帮助开发人员和系统管理员构建、部署和管理应用程序。Docker使用客户端-服务端模型，其中服务端负责管理容器，而客户端用于与服务端进行交互。在默认安装中，客户端和服务端位于同一台主机上，并通过本地安全PIC套接字进行通信。然而，您也可以启用远程连接，允许位于不同主机上的客户端连接到Docker服务端。为了确保这些远程连接的安全，本文介绍了两种主要方法：使用TLS加密或设置安全的专用网络（VPN）以允许内部客户端连接。

方法一：使用TLS加密

TLS（传输层安全性）是一种加密协议，可确保通过网络发送的数据的机密性和完整性。要使用TLS加密Docker远程连接，您需要：

创建一个证书颁发机构（CA）并生成证书和密钥。
在Docker服务端和客户端上安装证书和密钥。
配置Docker服务端和客户端以使用TLS加密。

以下是详细步骤：

步骤1：创建CA并生成证书和密钥

创建一个CA：

openssl genrsa -out ca.key 4096
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

生成服务端证书和密钥：

openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -out server.crt

生成客户端证书和密钥：

openssl genrsa -out client.key 4096
openssl req -new -key client.key -out client.csr
openssl x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -out client.crt

步骤2：在Docker服务端和客户端上安装证书和密钥

在Docker服务端上：

mkdir /etc/docker/certs.d/your-domain.com
cp server.crt /etc/docker/certs.d/your-domain.com/server.crt
cp server.key /etc/docker/certs.d/your-domain.com/server.key
cp ca.crt /etc/docker/certs.d/your-domain.com/ca.crt

在Docker客户端上：

mkdir /etc/docker/certs.d/your-domain.com
cp client.crt /etc/docker/certs.d/your-domain.com/client.crt
cp client.key /etc/docker/certs.d/your-domain.com/client.key
cp ca.crt /etc/docker/certs.d/your-domain.com/ca.crt

步骤3：配置Docker服务端和客户端以使用TLS加密

在Docker服务端上：

vim /etc/docker/daemon.json
{
  "tls": true,
  "tlscacert": "/etc/docker/certs.d/your-domain.com/ca.crt",
  "tlscert": "/etc/docker/certs.d/your-domain.com/server.crt",
  "tlskey": "/etc/docker/certs.d/your-domain.com/server.key"
}

在Docker客户端上：

vim /etc/docker/client.json
{
  "host": "https://your-domain.com:2376",
  "tlscacert": "/etc/docker/certs.d/your-domain.com/ca.crt",
  "tlscert": "/etc/docker/certs.d/your-domain.com/client.crt",
  "tlskey": "/etc/docker/certs.d/your-domain.com/client.key"
}