如何安全便捷地管理Docker船隊

Docker

Docker是什麼？如果說你的服務器是一條船，你只是一個小船主，你的船上散裝着各種貨物（也就是服務，比如http服務，數據庫服務，緩存服務，消息服務等等），那麼Docker就相當於把你的服務器改裝成了一條集裝箱貨船，把你原先凌亂堆放的貨物放置在一個一個容器裏，互相隔離，有序堆放。我們來看看Docker的商標，是不是很形象呢？

但是你的業務越做越大，很明顯一條船是裝不下了，你需要一支船隊：

這時候，如何管理船隊就變成了一個難題，沒有工具的幫忙，你甚至都不知道你有幾條船，每條船上裝的都是些什麼貨物，這些貨物現在的狀態如何。

Portainer

Portainer這個工具就是管理你船隊的一個好幫手。並且它本身也是安裝在一條船上，這條船就是你的指揮艇吧（說實話這個圖標有點醜，一點都沒有船隊老大的氣質）。

怎麼安裝Portainer呢？這個別人早都已經介紹過了，包括官網上也有說明。但是我要介紹一下我的經驗，我安裝Portainer的方式和官網的也不同，和別人講的也不同：

docker run -d --network=host --name portainer --restart always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer

在這裏我們沒有暴露9000端口，而是使用了一個特殊的設置：--network=host，就是這一點點小小的不同，會對你後面的操作影響巨大。

Docker API

光裝上Portainer是沒有用的，它充其量也只能管理它所在的這條船。

它怎麼管理整個船隊呢？首先你得建立Portainer和船隊裏其它船隻之間的聯繫。這個聯繫就是讓被管理的船隻暴露出Docker API接口來。但是如果你查看Docker官方的說明文檔，把整個過程弄得極其複雜無比，又要建立什麼安全證書中心，又要頒發證書，沒有初中以上文化是搞不定的。

Docker本來是有一套簡便的暴露端口的方法的，爲什麼官網要搞這麼複雜呢？因爲原先的方法比較簡單，會直接把整個管理界面全部暴露給公網，有極大的安全風險，所以Docker官網搞了一套複雜的認證流程。

我們的解決思路比較簡單：你不要把端口暴露給公網不就行了嗎？加一個防火牆，只讓我們允許的地址來訪問就可以了，何必搞什麼CA認證！

回到我們的被管理的船上，把API端口先暴露出來：

# systemctl edit docker
[Service]
ExecStart=
ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2375

好吧，這只是CentOS 7下的一種作法，還有一種作法是修改/etc/sysconfig/docker文件：

OPTIONS='--selinux-enabled --log-driver=journald --signature-verification=false -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2375'

具體應該用哪種作法，要取決於你的docker服務是怎麼設置的：

systemctl show docker | grep EnvironmentFile

你如果有EnvironmentFile設定，那麼你就需要用上面第二種辦法，如果沒有，就用第一種辦法。

iptables

好了，現在端口是暴露出來了，但是全公網任何人都能訪問，安全性怎麼辦？這時候我們發現一個嚴重的問題：Docker在亂搞我們的iptables表！

iptables是很重要的防火牆的設置，docker爲了暴露它的服務，它會忽視你設置在iptables表裏的一切規則，強行讓它的規則生效。這還了得？我們必須禁止Docker這麼胡搞，在上面的options裏再加上一個選項--iptables=false：

OPTIONS='--selinux-enabled --log-driver=journald --signature-verification=false -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2375' --iptables=false

重啓Docker服務後，它終於不再亂動我們的iptables表了。實際上爲了安全起見，我們應該在所有docker服務器上都加上--iptables=false的選項。但是這樣又產生了另外一個問題：外部訪問固然是阻止了，但我們的Docker容器想訪問外部也訪問不了了，比如我們一開始安裝的Portainer也是運行在容器裏的，不能訪問互聯網，它就沒有辦法管理其它Docker服務器了。爲了解決這個問題，需要我們在建立Docker容器的時候指定--network=host，這也就是本文一開始安裝Portainer時候那樣設置的原因。

好，現在各個被管理端的2375端口是開開了，但是除了localhost誰也訪問不了它，怎麼辦？我們可以在iptables裏增加一條規則：

-A INPUT -s ###.###.###.### -m state --state NEW -m tcp -p tcp --dport 2375 -j ACCEPT

上面那個###.###.###.###就是你的Portainer指揮艇服務器的IP地址。這樣一來，除了這臺指揮艇服務器可以訪問被管理船隻的Docker API接口以外，別的任何人都不能訪問。這樣就既達到了我們管理的目的，又保證了安全，同時還免出去了設置證書的繁瑣。

啓航吧，船隊！