非常安全模式
1、更改docker.service的配置
vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd
变更为:
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.socksystemctl daemon-reload
systemctl restart docker
TLS模式
1、生成服务端签名证书
mkdir -p /etc/docker/docker_2375 && cd /etc/docker/docker_2375
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem
#生成服务器密钥及证书签名请求
openssl genrsa -out server-key.pem 4096
#ops是对外提供Docker API服务的主机名
openssl req -subj "/CN=ops" -sha256 -new -key server-key.pem -out server.csr
#指定需要证书的IP地址及ops主机
echo subjectAltName = DNS:ops,IP:0.0.0.0 > extfile.cnf
#Docker服务扩展设置为仅使用服务器密钥的方式访问
echo extendedKeyUsage = serverAuth >> extfile.cnf
#生成签名证书
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf2、生成客户端签名证书
mkdir -p /etc/docker/docker_2375 && cd docker_2375
openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth > extfile-client.cnf
openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
#删除请求及扩展文件
rm -v client.csr server.csr extfile.cnf extfile-client.cnf
#只设置为读权限为了很好的保护密钥
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem3、更改docker.service的配置
vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd
变更为:
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/docker_2375/ca.pem --tlscert=/etc/docker/docker_2375/server-cert.pem \
--tlskey=/etc/docker/docker_2375/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.socksystemctl daemon-reload
systemctl restart docker