本文共 3446 字,大约阅读时间需要 11 分钟。
之前在一篇文章中,我尝试通过开放服务器2375端口来监听 Docker API,但这导致了严重的安全问题。两台阿里云服务器的 root 账号被劫持,ucloud 服务器内存被挖矿占满。这次经历让我深刻认识到:如果不采取加密措施,暴露 Docker API 端口的风险远不止你想象的那样。
这篇文章将介绍如何通过 TLS 加密 Docker API 来解决这一问题。我们将从设置主机名、生成 TLS 证书、配置 Docker 启用 TLS、IDEA 配置以及项目部署等方面展开实操步骤。
每个服务器都需要一个独特的主机名。我们可以通过以下命令来设置服务器的主机名:
vim /etc/hostname
输入主机名,例如 a.youlai.store,然后保存退出。
为了确保 Docker API 的安全性,我们需要生成 TLS 证书。以下是生成证书的脚本及其步骤:
mkdir -p /script /data/cert/dockertouch /script/cert.shvim /script/cert.sh
将以下内容添加到脚本中:
#!/bin/bashset -eif [ -z "$1" ]; then echo "请输入 Docker 服务器主机名" exit 0fiHOST=$1mkdir -p /data/cert/dockercd /data/cert/dockeropenssl genrsa -aes256 -out ca-key.pem 4096openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pemopenssl genrsa -out server-key.pem 4096openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr# 配置白名单,推荐配置 0.0.0.0,允许所有 IP 连接但只有证书才能成功连接echo subjectAltName = DNS:$HOST,IP:0.0.0.0 > extfile.cnfopenssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnfopenssl genrsa -out key.pem 4096openssl req -subj '/CN=client' -new -key key.pem -out client.csrecho extendedKeyUsage = clientAuth > extfile.cnfopenssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnfchmod -v 0400 ca-key.pem key.pem server-key.pemchmod -v 0444 ca.pem server-cert.pem cert.pem
运行脚本并输入服务器主机名:
sh /script/cert.sh a.youlai.store
生成的证书文件会存放在 /data/cert/docker 目录中。
接下来,我们需要配置 Docker 启用 TLS 加密。以下是具体步骤:
vim /usr/lib/systemd/system/docker.service
在 ExecStart 属性后追加以下内容:
--tlsverify --tlscacert=/data/cert/docker/ca.pem \--tlscert=/data/cert/docker/server-cert.pem \--tlskey=/data/cert/docker/server-key.pem \-H tcp://0.0.0.0:2376 -H unix://var/run/docker.sock
保存退出后,重新加载 Docker 配置并重启服务:
systemctl daemon-reloadsystemctl restart docker
检查 2376 端口是否正常运行:
netstat -nltp | grep 2376
在 IDEA 中配置 Docker 的 TLS 认证,按以下步骤操作:
将服务器的 ca.pem、cert.pem 和 key.pem 文件从服务器下载到本地。
在 IDEA 中打开 pom.xml 文件,找到 Docker 插件配置:
org.springframework.boot spring-boot-maven-plugin com.spotify docker-maven-plugin 1.0.0 build-image package build ${project.artifactId} latest openjdk:8-jdk-alpine / ["java","-jar","${project.build.finalName}.jar"] https://a.youlai.store:2376 C:\certs\docker\a.youlai.store / ${project.build.directory} ${project.build.finalName}.jar
完成以上配置后,可以运行以下命令进行打包测试:
mvn clean package docker:build
通过以上步骤,我们成功配置了 Docker API 的 TLS 加密,避免了 2375 端口的安全隐患。如果您在实际操作中遇到问题,欢迎在评论区留言,我会第一时间为您解答!
转载地址:http://noxuz.baihongyu.com/