docker-ce版本:18.09.3-rc1
由於在局域網內主機進行測試,IP爲192.168.22.65,以下內容中可將所有此IP替換成自己的IP地址。
一、在docker守護進程的主機上
1、生成CA私鑰文件ca-key.pem
$ openssl genrsa -aes256 -out ca-key.pem 4096
2、生成CA公鑰文件ca.pem
$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
3、基於CA文件生成server-key.pem文件
$ openssl genrsa -out server-key.pem 4096
4、基於server-key.pem文件生成server.csr文件
$ openssl req -subj "/CN=192.168.22.65" -sha256 -new -key server-key.pem -out server.csr
注意:生成過程中Common Name填寫主機IP:192.168.22.65
5、輸出subjectAltName屬性到extfile.cnf文件
$ echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf
注意:TLS連接可以通過域名或IP建立,所以這裏DNS:$HOST中的$HOST應填寫你的域名。但我的需求是docker主機本機和客戶端主機能夠訪問就可以了,所以我的輸出命令是:
$ echo subjectAltName = IP:192.168.22.65,IP:0.0.0.0 >> extfile.cnf
6、輸出extendedKeyUsage屬性到extfile.cnf文件
$ echo extendedKeyUsage = serverAuth >> extfile.cnf
7、生成簽名證書server-cert.pem文件
$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
8、創建客戶端私鑰文件key.pem
$ openssl genrsa -out key.pem 4096
9、基於key.pem文件生成client.csr文件
$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr
10、輸出extendedKeyUsage屬性到extfile-client.cnf文件
$ echo extendedKeyUsage = clientAuth > extfile-client.cnf
11、生成簽名證書cert.pem文件
$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
12、刪除兩個csr文件和extfile文件
$ rm -v client.csr server.csr extfile.cnf extfile-client.cnf
13、修改密鑰文件權限爲只允許所有者讀取
$ chmod -v 0400 ca-key.pem key.pem server-key.pem
14、修改證書文件權限爲只讀
$ chmod -v 0444 ca.pem server-cert.pem cert.pem
15、將CA證書、服務端證書、服務端密鑰文件拷貝到/etc/docker目錄
$ cp -v ca.pem server-cert.pem server-key.pem /etc/docker
16、配置/etc/docker/daemon.json文件
{
"tlsverify": true,
"tlscacert": "/etc/docker/ca.pem",
"tlscert": "/etc/docker/server-cert.pem",
"tlskey": "/etc/docker/server-key.pem",
"hosts": ["tcp://0.0.0.0:2376","unix:///var/run/docker.sock"],
"registry-mirrors": ["https://docker.mirrors.ustc.edu.cn"]
}
17、將CA證書、客戶端證書、客戶端密鑰文件拷貝到/root/.docker目錄
$ cp -v ca.pem cert.pem key.pem /root/.docker
18、修改/lib/systemd/system/docker.service文件中的配置
ExecStart = /usr/bin/dockerd
19、將DOCKER_HOST和DOCKER_TLS_VERIFY變量寫入/etc/profile文件
$ echo "export DOCKER_HOST=tcp://192.168.22.65:2376" >> /etc/profile
$ echo "export DOCKER_TLS_VERIFY=1" >> /etc/profile
$ source /etc/profile
20、重新加載配置並重啓docker
$ systemctl daemon-reload && systemctl restart docker
21、驗證docker進程是否正常啓動
$ docker ps
二、windows客戶端主機用idea遠程連接docker服務器
1、同樣將CA證書、客戶端證書、客戶端密鑰文件拷貝到當前系統用戶目錄下的./docker文件夾
2、修改環境變量DOCKER_HOST和DOCKER_TLS_VERIFY
DOCKER_HOST= tcp://192.168.22.65:2376
DOCKER_TLS_VERIFY=1
3、修改idea中docker的連接信息,採用https協議連接成功即可