330 阿裏雲技術社區[雲棲]

在 Atomic 主機上遠程使用 Docker

來自 Atomic 項目的 Atomic 主機是一個輕量級的容器基於的操作係統，它可以運行 Linux 容器。它已被優化為用作雲環境的容器運行時係統。例如，它可以托管 Docker 守護進程和容器。有時，你可能需要在該主機上運行 docker 命令，並從其他地方管理服務器。本文介紹如何遠程訪問 Fedora Atomic 主機（你可以在這裏下載到它）上的 Docker 守護進程。整個過程由 Ansible 自動完成 - 在涉及到自動化的一切上，這真是一個偉大的工具！

安全備忘錄

由於我們通過網絡連接，所以我們使用 TLS 保護 Docker 守護進程。此過程需要客戶端證書和服務器證書。OpenSSL 包用於創建用於建立 TLS 連接的證書密鑰。這裏，Atomic 主機運行守護程序，我們的本地的 Fedora Workstation 充當客戶端。

在你按照這些步驟進行之前，請注意，任何在客戶端上可以訪問 TLS 證書的進程在服務器上具有完全的 root 訪問權限。因此，客戶端可以在服務器上做任何它想做的事情。我們需要僅向可信任的特定客戶端主機授予證書訪問權限。你應該將客戶端證書僅複製到完全由你控製的客戶端主機。但即使在這種情況下，客戶端機器的安全也至關重要。

不過，此方法隻是遠程訪問守護程序的一種方法。編排工具通常提供更安全的控製。下麵的簡單方法適用於個人實驗，可能不適合開放式網絡。

獲取 Ansible role

Chris Houseknecht 寫了一個 Ansible role，它會創造所需的所有證書。這樣，你不需要手動運行 openssl命令了。這些在 Ansible role 倉庫中提供。將它克隆到你當前的工作主機。

$ mkdir docker-remote-access
$ cd docker-remote-access
$ git clone https://github.com/ansible/role-secure-docker-daemon.git

創建配置文件

接下來，你必須創建 Ansible 配置文件、清單inventory和劇本playbook文件以設置客戶端和守護進程。以下說明在 Atomic 主機上創建客戶端和服務器證書。然後，獲取客戶端證書到本地。最後，它們會配置守護進程以及客戶端，使它們能彼此交互。

這裏是你需要的目錄結構。如下所示，創建下麵的每個文件。

$ tree docker-remote-access/
docker-remote-access/
├── ansible.cfg
├── inventory
├── remote-access.yml
└── role-secure-docker-daemon

ansible.cfg：

$ vim ansible.cfg

[defaults]
inventory=inventory

清單文件（inventory）：

$ vim inventory

[daemonhost]
'IP_OF_ATOMIC_HOST' ansible_ssh_private_key_file='PRIVATE_KEY_FILE'

將清單文件（inventory）中的 IP_OF_ATOMIC_HOST 替換為 Atomic 主機的 IP。將 PRIVATE_KEY_FILE 替換為本地係統上的 SSH 私鑰文件的位置。

劇本文件（remote-access.yml）：

$ vim remote-access.yml

- name: Docker Client Set up
hosts: daemonhost
gather_facts: no
tasks:
- name: Make ~/.docker directory for docker certs
local_action: file path='~/.docker' state='directory'
- name: Add Environment variables to ~/.bashrc
local_action: lineinfile dest='~/.bashrc' line='export DOCKER_TLS_VERIFY=1\nexport DOCKER_CERT_PATH=~/.docker/\nexport DOCKER_HOST=tcp://{{ inventory_hostname }}:2376\n' state='present'
- name: Source ~/.bashrc file
local_action: shell source ~/.bashrc
- name: Docker Daemon Set up
hosts: daemonhost
gather_facts: no
remote_user: fedora
become: yes
become_method: sudo
become_user: root
roles:
- role: role-secure-docker-daemon
dds_host: "{{ inventory_hostname }}"
dds_server_cert_path: /etc/docker
dds_restart_docker: no
tasks:
- name: fetch ca.pem from daemon host
fetch:
src: /root/.docker/ca.pem
dest: ~/.docker/
fail_on_missing: yes
flat: yes
- name: fetch cert.pem from daemon host
fetch:
src: /root/.docker/cert.pem
dest: ~/.docker/
fail_on_missing: yes
flat: yes
- name: fetch key.pem from daemon host
fetch:
src: /root/.docker/key.pem
dest: ~/.docker/
fail_on_missing: yes
flat: yes
- name: Remove Environment variable OPTIONS from /etc/sysconfig/docker
lineinfile:
dest: /etc/sysconfig/docker
regexp: '^OPTIONS'
state: absent
- name: Modify Environment variable OPTIONS in /etc/sysconfig/docker
lineinfile:
dest: /etc/sysconfig/docker
line: "OPTIONS='--selinux-enabled --log-driver=journald --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H=0.0.0.0:2376 -H=unix:///var/run/docker.sock'"
state: present
- name: Remove client certs from daemon host
file:
path: /root/.docker
state: absent
- name: Reload Docker daemon
command: systemctl daemon-reload
- name: Restart Docker daemon
command: systemctl restart docker.service

訪問 Atomic 主機

現在運行 Ansible 劇本：

$ ansible-playbook remote-access.yml

確保 tcp 端口 2376 在你的 Atomic 主機上打開了。如果你在使用 Openstack，請在安全規則中添加 TCP 端口 2376。如果你使用 AWS，請將其添加到你的安全組。

現在，在你的工作站上作為普通用戶運行的 docker 命令與 Atomic 主機的守護進程通信，並在那裏執行命令。你不需要手動 ssh 或在 Atomic 主機上發出命令。這可以讓你遠程、輕鬆、安全地啟動容器化應用程序。

如果你想克隆 Ansible 劇本和配置文件，這裏是 git 倉庫。

docker-daemon

docker-daemon

原文發布時間為：2017-03-03

本文來自雲棲社區合作夥伴“Linux中國”

最後更新：2017-05-25 17:01:49

在 Atomic 主機上遠程使用 Docker

安全備忘錄

獲取 Ansible role

創建配置文件

訪問 Atomic 主機

上一篇： Samba 係列（四）：在 Windows 下管理 Samba4 AD 域管製器 DNS 和組策略

下一篇： LXD 2.0 係列（九）：實時遷移

相關內容

熱門內容

最新內容