如何在Atomic主机上远程使用 Docker
来自Atomic项目的Atomic主机是一个轻量级的容器基于的操作系统,它可以运行 Linux 容器。它已被优化为用作云环境的容器运行时系统。例如,它可以托管 Docker 守护进程和容器。有时,你可能需要在该主机上运行 docker 命令,并从其他地方管理服务器。本文介绍如何远程访问 Fedora Atomic 主机(你可以在这里下载到它)上的 Docker 守护进程。整个过程由 Ansible 自动完成 - 在涉及到自动化的一切上,这真是一个伟大的工具!
安全备忘录
由于我们通过网络连接,所以我们使用TLS保护 Docker 守护进程。此过程需要客户端证书和服务器证书。OpenSSL包用于创建用于建立 TLS 连接的证书密钥。这里,Atomic主机运行守护程序,我们的本地的Fedora Workstation充当客户端。
在你按照这些步骤进行之前,请注意,任何在客户端上可以访问 TLS 证书的进程在服务器上具有完全的 root 访问权限。 因此,客户端可以在服务器上做任何它想做的事情。我们需要仅向可信任的特定客户端主机授予证书访问权限。你应该将客户端证书仅复制到完全由你控制的客户端主机。但即使在这种情况下,客户端机器的安全也至关重要。
不过,此方法只是远程访问守护程序的一种方法。编排工具通常提供更安全的控制。下面的简单方法适用于个人实验,可能不适合开放式网络。
获取 Ansible role
Chris Houseknecht 写了一个Ansible role,它会创造所需的所有证书。这样,你不需要手动运行 openssl命令了。 这些在 Ansible role 仓库中提供。将它克隆到你当前的工作主机。
- $ mkdir docker-remote-access
- $ cd docker-remote-access
- $ git clone https://github.com/ansible/role-secure-docker-daemon.git
创建配置文件
接下来,你必须创建 Ansible 配置文件、清单inventory和剧本playbook文件以设置客户端和守护进程。以下说明在 Atomic 主机上创建客户端和服务器证书。然后,获取客户端证书到本地。最后,它们会配置守护进程以及客户端,使它们能彼此交互。
这里是你需要的目录结构。如下所示,创建下面的每个文件。
- $ tree docker-remote-access/
- docker-remote-access/
- ├── ansible.cfg
- ├── inventory
- ├── remote-access.yml
- └── role-secure-docker-daemon
ansible.cfg:
- $ vim ansible.cfg
- [defaults]
- inventory=inventory
清单文件(inventory):
- $ vim inventory
- [daemonhost]
- 'IP_OF_ATOMIC_HOST' ansible_ssh_private_key_file='PRIVATE_KEY_FILE'
将清单文件(inventory) 中的 IP_OF_ATOMIC_HOST 替换为 Atomic 主机的 IP。将 PRIVATE_KEY_FILE 替换为本地系统上的 SSH 私钥文件的位置。
剧本文件(remote-access.yml):
- $ vim remote-access.yml
- - name: Docker Client Set up
- hosts: daemonhost
- gather_facts: no
- tasks:
- - name: Make ~/.docker directory for docker certs
- local_action: file path='~/.docker' state='directory'
- - name: Add Environment variables to ~/.bashrc
- local_action: lineinfile dest='~/.bashrc' line='export DOCKER_TLS_VERIFY=1\nexport DOCKER_CERT_PATH=~/.docker/\nexport DOCKER_HOST=tcp://{{ inventory_hostname }}:2376\n' state='present'
- - name: Source ~/.bashrc file
- local_action: shell source ~/.bashrc
- - name: Docker Daemon Set up
- hosts: daemonhost
- gather_facts: no
- remote_user: fedora
- become: yes
- become_method: sudo
- become_user: root
- roles:
- - role: role-secure-docker-daemon
- dds_host: "{{ inventory_hostname }}"
- dds_server_cert_path: /etc/docker
- dds_restart_docker: no
- tasks:
- - name: fetch ca.pem from daemon host
- fetch:
- src: /root/.docker/ca.pem
- dest: ~/.docker/
- fail_on_missing: yes
- flat: yes
- - name: fetch cert.pem from daemon host
- fetch:
- src: /root/.docker/cert.pem
- dest: ~/.docker/
- fail_on_missing: yes
- flat: yes
- - name: fetch key.pem from daemon host
- fetch:
- src: /root/.docker/key.pem
- dest: ~/.docker/
- fail_on_missing: yes
- flat: yes
- - name: Remove Environment variable OPTIONS from /etc/sysconfig/docker
- lineinfile:
- dest: /etc/sysconfig/docker
- regexp: '^OPTIONS'
- state: absent
- - name: Modify Environment variable OPTIONS in /etc/sysconfig/docker
- lineinfile:
- dest: /etc/sysconfig/docker
- line: "OPTIONS='--selinux-enabled --log-driver=journald --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H=0.0.0.0:2376 -H=unix:///var/run/docker.sock'"
- state: present
- - name: Remove client certs from daemon host
- file:
- path: /root/.docker
- state: absent
- - name: Reload Docker daemon
- command: systemctl daemon-reload
- - name: Restart Docker daemon
- command: systemctl restart docker.service
访问 Atomic 主机
现在运行 Ansible 剧本:
- $ ansible-playbook remote-access.yml
确保 tcp 端口 2376 在你的 Atomic 主机上打开了。如果你在使用 Openstack,请在安全规则中添加 TCP 端口 2376。 如果你使用 AWS,请将其添加到你的安全组。
现在,在你的工作站上作为普通用户运行的 docker 命令与 Atomic 主机的守护进程通信,并在那里执行命令。你不需要手动 ssh 或在 Atomic 主机上发出命令。这可以让你远程、轻松、安全地启动容器化应用程序。
如果你想克隆 Ansible 剧本和配置文件,这里是 git 仓库。
docker-daemon
如何在Atomic主机上远程使用 Docker相关推荐
- 如何在 Windows 主机上访问本地局域网中的 Linux 主机
如何在 Windows 主机上访问本地局域网中的 Linux 主机 使用 Xshell 建立远程连接 在 Windows 主机上是可以访问本地局域网中的 Linux 主机的.这样做之所以可行,是因 ...
- 如何在CentOS 7上安装Kubernetes Docker群集
如何在CentOS 7上安装Kubernetes Docker群集 Kubernetes是一个开源平台,用于管理由Google开发的容器化应用程序.它允许您在集群环境中管理,扩展和自动部署容器化应用程 ...
- 如何在XenServer主机上安装虚拟机
要在XenServer主机上安装一台虚拟机有三种方法--从顶部的菜单栏安装:在AC上部右击主机安装:从AC上部的任务栏安装.当选择安装虚拟机时,在标签窗口会出现第五个标签--"安装XenVM ...
- exi 虚拟服务器,图文教程:如何在ESXi主机上部署VMware Tools 10
2015年9月VMware发布了VMware Tools 10.伴随着这次更新,VMware Tools 可能成为一款单独管理的产品.VMware Tools 10不再包含在ESXi的发布周期内,它拥 ...
- 如何在WordPress主机上搭建网站?
毫无疑问,第一步是要有一个WordPress主机. 我这里用的是沃朴思WPScale的WordPress主机,因为我不太懂技术上面的问题,所以选择了这种管理型的主机,主机商会帮我处理那些技术上的问题. ...
- 微塔式服务器esxi虚拟机黑群晖,ESXi6主机上安装部署黑群晖虚拟机
本文转载自[微信公众号:WalkingCloud,ID:WalkingCloud2018],经微信公众号授权转载,如需转载与原文作者联系 介绍如何在ESXi6主机上安装黑群晖虚拟机,并创建IPSAN ...
- 如何在 GitLab CI 管道中构建 Docker 映像
CI 管道的一个常见用例是构建用于部署应用程序的 Docker 映像.GitLab CI 是一个很好的选择,因为它支持集成的拉代理服务,这意味着更快的管道,以及用于存储构建图像的内置注册表. 在本指南 ...
- mysql - Docker Wordpress连接到本地主机上的数据库服务器
视频上面的 docker service create --name mysql -p 3306:3306 --env MYSQL_ROOT_PASSWORD=root \ --env MYS ...
- 如何在ESXi 5.5主机上安装ESXi 5.5客户机
要学习vSphere,很多情况下,都需要多台物理设备才能搭建一个环境,没有环境怎么办?如果你已经有了一台现成的ESXi主机,那么一个可行的方法在其上安装几台ESXi虚拟机. 有不少文章已经写了如何在V ...
最新文章
- mybatis plug 只查id_mybatis-plugin的几种常用的方法
- k8s 通用的java项目迁移流程
- 学完java后学编译原理_一个资深程序员对Java初学者的学习思维路线建议
- 基于Xml 的IOC 容器-载入<list>的子元素
- 01.search_api_综述
- php ayui表格,layui表格使用
- log4j2 logger_简单一致的Log4j2 Logger命名
- mysql数据库备份shell_mysql数据库备份shell脚本分享
- java学习(155):序列化
- QQ动态头像和动态主页
- 一场全能的开发者大会,来自助力开发者成功进阶的华为云
- html是非结构数据吗,Python处理非结构数据
- 失败的信息化案例分享
- Android 中关于Cursor类的介绍
- 使用requests访问必应在线翻译
- 高手常用的15 种 SQL 优化
- Linux-chmod
- 为什么郭台铭才是夏普的最佳归宿?
- 蓝桥杯练习题JAVA 圆的面积
- web前端开发相关网站
热门文章
- Flink State和容错机制
- Spring Boot项目利用MyBatis Generator进行数据层代码自动生成
- python全栈开发笔记--------条件语句
- “拖库”防不胜防,如何早做预防?
- 深入.NET 4.0之,LazyT点滴
- 【11分钟训练完ImageNet】DNN训练再破纪录,1024 CPU Caffe开源
- 从全球最大光伏展看中国光伏行业:火爆的背后是什么?
- [转] SAAS, PAAS, IAAS
- How Vmware snapshots works
- 宁波Uber优步司机奖励政策(1月18日~1月24日)