devbox
秋刀鱼在做梦
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

docker安全设置。_environment=gotraceback=crash

作者:秋刀鱼在做梦 | 2024-08-07 20:59:10

environment=gotraceback=crash

1.设置docker remote api访问进行证书认证。

  1. mkdir /root/work
  2. cd /root/work
  3.  
  4. #创建根证书RSA私钥,会要求输入密码
  5. openssl genrsa -aes256 -out ca-key.pem 4096
  6.  
  7. #使用RSA私钥创建CA证书,会要求输入证书相关信息,根据提示输入
  8. openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -out ca.pem
  9.  
  10. #创建服务端私钥
  11. openssl genrsa -out server-key.pem 4096
  12.  
  13. #生成服务端证书签名请求(csr即certificate signing request,里面包含公钥与服务端信息),会要求输入信息
  14. openssl req -sha256 -new -key server-key.pem -out server.csr
  15.  
  16. #生成签名过的服务端证书(期间会要求输入前面的密码)
  17. #此时生成的server-cert.pem文件就是已盖章生效的服务端证书
  18. openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
  19.  
  20.  
  21. #生成客户私钥
  22. openssl genrsa -out key.pem 4096
  23.  
  24. #生成客户端证书签名请求
  25. openssl req -new -key key.pem -out client.csr
  26.  
  27. #生成名为extfile.cnf的配置文件
  28. echo extendedKeyUsage=clientAuth > extfile.cnf
  29.  
  30. #生成签名过的客户端证书(期间会要求输入前面的密码)
  31. openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
  32.  
  33. #将多余的文件删除
  34. rm -rf ca.srl client.csr extfile.cnf server.csr
  35.  
  36. chmod -v 0400 ca-key.pem key.pem server-key.pem
  37. chmod -v 0444 ca.pem server-cert.pem cert.pem

2.修改ExecStart配置

vim /lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -D -H tcp://0.0.0.0:2375 --tlsverify --tlscacert=/root/work/ca.pem --tlscert=/root/work/server-cert.pem --tlskey=/root/work/server-key.pem

docker.service完整设置

  1. [Unit]
  2. Description=Docker Application Container Engine
  3. Documentation=http://docs.docker.com
  4. After=network.target
  5. Wants=docker-storage-setup.service
  6. Requires=docker-cleanup.timer
  7.  
  8. [Service]
  9. Type=notify
  10. NotifyAccess=main
  11. EnvironmentFile=-/run/containers/registries.conf
  12. EnvironmentFile=-/etc/sysconfig/docker
  13. EnvironmentFile=-/etc/sysconfig/docker-storage
  14. EnvironmentFile=-/etc/sysconfig/docker-network
  15. Environment=GOTRACEBACK=crash
  16. Environment=DOCKER_HTTP_HOST_COMPAT=1
  17. Environment=PATH=/usr/libexec/docker:/usr/bin:/usr/sbin
  18. ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock \
  19.           --tlsverify --tlscacert=/root/work/ca.pem --tlscert=/root/work/server-cert.pem --tlskey=/root/work/server-key.pem \
  20.           --exec-opt native.cgroupdriver=systemd
  21. ExecReload=/bin/kill -s HUP $MAINPID
  22. LimitNOFILE=1048576
  23. LimitNPROC=1048576
  24. LimitCORE=infinity
  25. TimeoutStartSec=0
  26. Restart=on-abnormal
  27. KillMode=process
  28.  
  29. [Install]
  30. WantedBy=multi-user.target

3.加载配置并重启docker服务:systemctl daemon-reload && systemctl restart docker

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/秋刀鱼在做梦/article/detail/944493
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号