日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
在Atomic主機(jī)上遠(yuǎn)程使用Docker

來自 Atomic 項(xiàng)目 的 Atomic 主機(jī)是一個(gè)輕量級(jí)的容器基于的操作系統(tǒng),它可以運(yùn)行 Linux 容器。它已被優(yōu)化為用作云環(huán)境的容器運(yùn)行時(shí)系統(tǒng)。例如,它可以托管 Docker 守護(hù)進(jìn)程和容器。有時(shí),你可能需要在該主機(jī)上運(yùn)行 docker 命令,并從其他地方管理服務(wù)器。本文介紹如何遠(yuǎn)程訪問 Fedora Atomic 主機(jī)(你可以在這里下載到它)上的 Docker 守護(hù)進(jìn)程。整個(gè)過程由 Ansible 自動(dòng)完成 - 在涉及到自動(dòng)化的一切上,這真是一個(gè)偉大的工具!

專注于為中小企業(yè)提供成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、外貿(mào)營銷網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)墨江免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動(dòng)了上千多家企業(yè)的穩(wěn)健成長(zhǎng),幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

安全備忘錄

由于我們通過網(wǎng)絡(luò)連接,所以我們使用 TLS 保護(hù) Docker 守護(hù)進(jìn)程。此過程需要客戶端證書和服務(wù)器證書。OpenSSL 包用于創(chuàng)建用于建立 TLS 連接的證書密鑰。這里,Atomic 主機(jī)運(yùn)行守護(hù)程序,我們的本地的 Fedora Workstation 充當(dāng)客戶端。

在你按照這些步驟進(jìn)行之前,請(qǐng)注意,任何在客戶端上可以訪問 TLS 證書的進(jìn)程在服務(wù)器上具有完全的 root 訪問權(quán)限。 因此,客戶端可以在服務(wù)器上做任何它想做的事情。我們需要僅向可信任的特定客戶端主機(jī)授予證書訪問權(quán)限。你應(yīng)該將客戶端證書僅復(fù)制到完全由你控制的客戶端主機(jī)。但即使在這種情況下,客戶端機(jī)器的安全也至關(guān)重要。

不過,此方法只是遠(yuǎn)程訪問守護(hù)程序的一種方法。編排工具通常提供更安全的控制。下面的簡(jiǎn)單方法適用于個(gè)人實(shí)驗(yàn),可能不適合開放式網(wǎng)絡(luò)。

獲取 Ansible role

Chris Houseknecht 寫了一個(gè) Ansible role,它會(huì)創(chuàng)造所需的所有證書。這樣,你不需要手動(dòng)運(yùn)行 openssl 命令了。 這些在 Ansible role 倉庫中提供。將它克隆到你當(dāng)前的工作主機(jī)。

$ mkdir docker-remote-access
$ cd docker-remote-access
$ git clone https://github.com/ansible/role-secure-docker-daemon.git

創(chuàng)建配置文件

接下來,你必須創(chuàng)建 Ansible 配置文件、清單(inventory)和劇本(playbook)文件以設(shè)置客戶端和守護(hù)進(jìn)程。以下說明在 Atomic 主機(jī)上創(chuàng)建客戶端和服務(wù)器證書。然后,獲取客戶端證書到本地。最后,它們會(huì)配置守護(hù)進(jìn)程以及客戶端,使它們能彼此交互。

這里是你需要的目錄結(jié)構(gòu)。如下所示,創(chuàng)建下面的每個(gè)文件。

$ tree docker-remote-access/
docker-remote-access/
├── ansible.cfg
├── inventory
├── remote-access.yml
└── role-secure-docker-daemon

ansible.cfg

$ vim ansible.cfg

[defaults]
inventory=inventory

清單文件(inventory):

$ vim inventory

[daemonhost]
'IP_OF_ATOMIC_HOST' ansible_ssh_private_key_file='PRIVATE_KEY_FILE'

將清單文件(inventory) 中的 IP_OF_ATOMIC_HOST 替換為 Atomic 主機(jī)的 IP。將 PRIVATE_KEY_FILE 替換為本地系統(tǒng)上的 SSH 私鑰文件的位置。

劇本文件(remote-access.yml):

$ vim remote-access.yml

- name: Docker Client Set up
  hosts: daemonhost
  gather_facts: no
  tasks:
    - name: Make ~/.docker directory for docker certs
      local_action: file path='~/.docker' state='directory'

    - name: Add Environment variables to ~/.bashrc
      local_action: lineinfile dest='~/.bashrc' line='export DOCKER_TLS_VERIFY=1\nexport DOCKER_CERT_PATH=~/.docker/\nexport DOCKER_HOST=tcp://{{ inventory_hostname }}:2376\n' state='present'

    - name: Source ~/.bashrc file
      local_action: shell source ~/.bashrc

- name: Docker Daemon Set up
  hosts: daemonhost
  gather_facts: no
  remote_user: fedora
  become: yes
  become_method: sudo
  become_user: root
  roles:
    - role: role-secure-docker-daemon
      dds_host: "{{ inventory_hostname }}"
      dds_server_cert_path: /etc/docker
      dds_restart_docker: no
  tasks:
    - name: fetch ca.pem from daemon host
      fetch:
        src: /root/.docker/ca.pem
        dest: ~/.docker/
        fail_on_missing: yes
        flat: yes
    - name: fetch cert.pem from daemon host
      fetch:
        src: /root/.docker/cert.pem
        dest: ~/.docker/
        fail_on_missing: yes
        flat: yes
    - name: fetch key.pem from daemon host
      fetch:
        src: /root/.docker/key.pem
        dest: ~/.docker/
        fail_on_missing: yes
        flat: yes
    - name: Remove Environment variable OPTIONS from /etc/sysconfig/docker
      lineinfile:
        dest: /etc/sysconfig/docker
        regexp: '^OPTIONS'
        state: absent

    - name: Modify Environment variable OPTIONS in /etc/sysconfig/docker
      lineinfile:
        dest: /etc/sysconfig/docker
        line: "OPTIONS='--selinux-enabled --log-driver=journald --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H=0.0.0.0:2376 -H=unix:///var/run/docker.sock'"
        state: present

    - name: Remove client certs from daemon host
      file:
        path: /root/.docker
        state: absent

    - name: Reload Docker daemon
      command: systemctl daemon-reload
    - name: Restart Docker daemon
      command: systemctl restart docker.service

訪問 Atomic 主機(jī)

現(xiàn)在運(yùn)行 Ansible 劇本:

$ ansible-playbook remote-access.yml

確保 tcp 端口 2376 在你的 Atomic 主機(jī)上打開了。如果你在使用 Openstack,請(qǐng)?jiān)诎踩?guī)則中添加 TCP 端口 2376。 如果你使用 AWS,請(qǐng)將其添加到你的安全組。

現(xiàn)在,在你的工作站上作為普通用戶運(yùn)行的 docker 命令與 Atomic 主機(jī)的守護(hù)進(jìn)程通信,并在那里執(zhí)行命令。你不需要手動(dòng) ssh 或在 Atomic 主機(jī)上發(fā)出命令。這可以讓你遠(yuǎn)程、輕松、安全地啟動(dòng)容器化應(yīng)用程序。

如果你想克隆 Ansible 劇本和配置文件,這里是 git 倉庫。


網(wǎng)站名稱:在Atomic主機(jī)上遠(yuǎn)程使用Docker
文章分享:http://www.dlmjj.cn/article/djoegsi.html