您好,登錄后才能下訂單哦!
這篇文章給大家分享的是有關如何在Atomic主機上遠程使用Docker的內容。小編覺得挺實用的,因此分享給大家做個參考,一起跟隨小編過來看看吧。
由于我們通過網絡連接,所以我們使用
保護 Docker 守護進程。此過程需要客戶端證書和服務器證書。OpenSSL 包用于創建用于建立 TLS 連接的證書密鑰。這里,Atomic 主機運行守護程序,我們的本地的 充當客戶端。在你按照這些步驟進行之前,請注意,任何在客戶端上可以訪問 TLS 證書的進程在服務器上具有完全的 root 訪問權限。 因此,客戶端可以在服務器上做任何它想做的事情。我們需要僅向可信任的特定客戶端主機授予證書訪問權限。你應該將客戶端證書僅復制到完全由你控制的客戶端主機。但即使在這種情況下,客戶端機器的安全也至關重要。
寫了一個 Ansible role,它會創造所需的所有證書。這樣,你不需要手動運行 openssl 命令了。 這些在 中提供。將它克隆到你當前的工作主機。
$ mkdir docker-remote-access $ cd docker-remote-access $ git clone https://github.com/ansible/role-secure-docker-daemon.git
接下來,你必須創建 Ansible 配置文件、清單inventory和劇本playbook文件以設置客戶端和守護進程。以下說明在 Atomic 主機上創建客戶端和服務器證書。然后,獲取客戶端證書到本地。最后,它們會配置守護進程以及客戶端,使它們能彼此交互。
這里是你需要的目錄結構。如下所示,創建下面的每個文件。
$ tree docker-remote-access/ docker-remote-access/ ├── ansible.cfg ├── inventory ├── remote-access.yml └── role-secure-docker-daemonxxxxxxxxxx6 1$ tree docker-remote-access/2docker-remote-access/3├── ansible.cfg4├── inventory5├── remote-access.yml6└── role-secure-docker-daemon$ tree docker-remote-access/docker-remote-access/├── ansible.cfg├── inventory├── remote-access.yml└── role-secure-docker-daemon
ansible.cfg:
$ vim ansible.cfg [defaults]inventory=inventory
清單文件(inventory):
$ vim inventory [daemonhost]'IP_OF_ATOMIC_HOST' ansible_ssh_private_key_file='PRIVATE_KEY_FILE'
將清單文件(inventory) 中的 IP_OF_ATOMIC_HOST 替換為 Atomic 主機的 IP。將 PRIVATE_KEY_FILE 替換為本地系統上的 SSH 私鑰文件的位置。
劇本文件(remote-access.yml):
- name: Docker Client Set up hosts: daemonhost gather_facts: no tasks: - name: Make ~/.docker directory for docker certs local_action: file path='~/.docker' state='directory' - name: Add Environment variables to ~/.bashrc local_action: lineinfile dest='~/.bashrc' line='export DOCKER_TLS_VERIFY=1\nexport DOCKER_CERT_PATH=~/.docker/\nexport DOCKER_HOST=tcp://{{ inventory_hostname }}:2376\n' state='present' - name: Source ~/.bashrc file local_action: shell source ~/.bashrc - name: Docker Daemon Set up hosts: daemonhost gather_facts: no remote_user: fedora become: yes become_method: sudo become_user: root roles: - role: role-secure-docker-daemon dds_host: "{{ inventory_hostname }}" dds_server_cert_path: /etc/docker dds_restart_docker: no tasks: - name: fetch ca.pem from daemon host fetch: src: /root/.docker/ca.pem dest: ~/.docker/ fail_on_missing: yes flat: yes - name: fetch cert.pem from daemon host fetch: src: /root/.docker/cert.pem dest: ~/.docker/ fail_on_missing: yes flat: yes - name: fetch key.pem from daemon host fetch: src: /root/.docker/key.pem dest: ~/.docker/ fail_on_missing: yes flat: yes - name: Remove Environment variable OPTIONS from /etc/sysconfig/docker lineinfile: dest: /etc/sysconfig/docker regexp: '^OPTIONS' state: absent - name: Modify Environment variable OPTIONS in /etc/sysconfig/docker lineinfile: dest: /etc/sysconfig/docker line: "OPTIONS='--selinux-enabled --log-driver=journald --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H=0.0.0.0:2376 -H=unix:///var/run/docker.sock'" state: present - name: Remove client certs from daemon host file: path: /root/.docker state: absent - name: Reload Docker daemon command: systemctl daemon-reload - name: Restart Docker daemon command: systemctl restart docker.service
現在運行 Ansible 劇本:
$ ansible-playbook remote-access.yml
確保 tcp 端口 2376 在你的 Atomic 主機上打開了。如果你在使用 Openstack,請在安全規則中添加 TCP 端口 2376。 如果你使用 AWS,請將其添加到你的安全組。
現在,在你的工作站上作為普通用戶運行的 docker 命令與 Atomic 主機的守護進程通信,并在那里執行命令。你不需要手動 ssh 或在 Atomic 主機上發出命令。這可以讓你遠程、輕松、安全地啟動容器化應用程序。
如果你想克隆 Ansible 劇本和配置文件,這里是
。感謝各位的閱讀!關于“如何在Atomic主機上遠程使用Docker”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,讓大家可以學到更多知識,如果覺得文章不錯,可以把它分享出去讓更多的人看到吧!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。