idea使用Alibaba Cloud Toolkit插件远程操作Docker

news2024/11/25 14:44:55
idea使用Alibaba Cloud Toolkit插件远程操作Docker

前言

从github下载的开源项目源码,你基本上都能在项目根目录下发现会有个Dockerfile文件,Dockerfile文件是记录构建docker容器的构建命令,用途:一般用来将本地的jar包远程传输到服务器上,然后执行Dockerfile文件实现容器化部署服务。

结合 Alibaba Cloud ToolKit 插件如何实现容器化部署呢?

一、“tcp://IP:2375或者Unix socket” 连接Docker(不安全)

对比 本地虚拟机环境 跟 远程服务器的Docker连接情况:

tcp:// 192.xxx.xxx:2375 连接本地的虚拟机内部的Linux系统,连接成功。

https:// 13x.xxx.xxx:2375 连接XX云ECS远程服务器,连接失败。

连接本地虚拟机docker
连接远程docker

问题1:为什么本地虚拟机能连上,xxx云ECS服务器连不上?

对比 两个环境的docker.service 配置

 vim /lib/systemd/system/docker.service

docker配置 搜索 ExecStart ,对比配置:

# 远程ECS服务器的配置
# 默认监听unix域套接字,而不是tcp、ip端口
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock 

# 本地虚拟机的配置
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H=0.0.0.0:2375  # 注意,直接"-H=0.0.0.0:2375"开放2375端口,任何ip任何人都可以通过2375端口操作docker,这有很大风险,容易被攻击。

发现本地虚拟机环境docker配置了 -H=0.0.0.0:2375 ,而远程服务器使用的是默认配置-H fd://,这个命令的意思是启动一个Docker守护进程,使其监听Unix域套接字和containerd的Unix套接字,等待客户端连接。

问题2:什么是Unix域套接字?有什么作用?

Unix域套接字

问题3:2375端口一般是干什么的?

Linux 2375端口通常是用于Docker的远程API服务。当使用Docker命令或客户端进行访问时,它可以允许用户通过网络远程管理Docker守护进程,可以查询Docker运行时环境的状态,启动或停止容器,创建或删除Docker镜像以及执行其他管理任务。但需要注意的是,如果该端口未正确配置或未受到适当的保护,则可能会导致安全漏洞,因此需要谨慎使用和管理。

总结:

默认情况下,Docker远程API未设置的认证机制,因此无论使用哪种连接方式(tcp://IP:2375或者Unix socket),都不需要使用账号密码进行认证。但是这也导致了潜在的安全风险,因为任何人都可以通过该连接方式连接到服务器,并执行Docker相关操作。为了增强安全性,建议对Docker远程API进行认证和授权设置,例如使用TLS证书或设置认证代理等。

注意,直接"-H=0.0.0.0:2375"开放2375端口,任何ip任何人都可以通过2375端口操作docker,这有很大风险,容易被攻击。本地虚拟机可以这么搞,但是上生产环境就不能这么搞了。那么应该怎么做呢?

可以通过开启 TLS证书的方式连接远程Dockr服务器,详见:第二步

二、TLS 方式连接远程服务器的Docker(安全)

1)、Linux 系统 生成CA证书

1. 进入生成证书的目录

cd /home/docker
# 内容比较多, 就写成一个shell脚本, 将需要绑定的服务端ip或域名做参数传入即可
vi tlscert.sh

2. 创建 TLS 证书 (根证书、服务端证书、客户端证书)

脚本内容如下:

#!/bin/bash

 
if [ $# != 1 ] ; then 
echo "USAGE: $0 [HOST_IP]" 
exit 1; 
fi 
#============================================#
#   下面为证书密钥及相关信息配置,注意修改   #
#============================================#
# 必填,CA证书密码
PASSWORD="study@1024"
COUNTRY=CN
# 可选,省份
PROVINCE=yourprovince
# 可选,城市
CITY=yourcity
# 可选,机构/公司名
ORGANIZATION=yourcompany
# 可选,分组
GROUP=yourgroup
# 可选,名称
NAME=yourname
# 必填,CA证书颁发者(即需要被远程连接docker的公网ip或域名)
HOST=$1
SUBJ="/C=$COUNTRY/ST=$PROVINCE/L=$CITY/O=$ORGANIZATION/OU=$GROUP/CN=$HOST"
# CA证书有效天数,这里设置10年
TIME_DAY=3650
 
echo "your host is: $1"
echo "your CA's password is : $PASSWORD"
 
# 1.生成根证书RSA私钥,PASSWORD作为私钥文件的密码
openssl genrsa -passout pass:$PASSWORD -aes256 -out ca-key.pem 4096
 
# 2.用根证书RSA私钥生成自签名的根证书
openssl req -passin pass:$PASSWORD -new -x509 -days $TIME_DAY -key ca-key.pem -sha256 -out ca.pem -subj $SUBJ
 
#============================================#
#          用根证书签发server端证书          #
#============================================#
 
# 3.生成服务端私钥
openssl genrsa -out server-key.pem 4096
 
# 4.生成服务端证书请求文件
openssl req -new -sha256 -key server-key.pem -out server.csr -subj "/CN=$HOST"
 
# 5.使tls连接能通过ip地址方式,绑定IP
echo subjectAltName = IP:127.0.0.1,IP:$HOST > extfile.cnf
 
# 6.使用根证书签发服务端证书
openssl x509 -passin pass:$PASSWORD -req -days $TIME_DAY -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
 
 
#============================================#
#          用根证书签发client端证书          #
#============================================#
 
# 7.生成客户端私钥
openssl genrsa -out key.pem 4096
 
# 8.生成客户端证书请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
 
# 9.客户端证书配置文件
echo extendedKeyUsage = clientAuth > extfile.cnf
 
# 10.使用根证书签发客户端证书
openssl x509 -passin pass:$PASSWORD -req -days $TIME_DAY -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
 
#============================================#
#                    清理                    #
#============================================#
# 删除中间文件
rm -f client.csr server.csr ca.srl extfile.cnf
 
# 转移目录。服务端的证书保存在server目录下,客户端的证书保存在client目录下
mkdir client server
cp {ca,cert,key}.pem client
cp {ca,server-cert,server-key}.pem server
rm {cert,key,server-cert,server-key}.pem
 
# 设置私钥权限为只读
chmod -f 0400 ca-key.pem server/server-key.pem client/key.pem

3. 给脚本权限,并执行脚本

# 给脚本添加运行权限
chmod 755 tlscert.sh
HOST_IP=your master Ip
sh ./tlscert.sh $HOST_IP
# 拷贝服务端server目录下的证书,保存在docker目录
sudo cp server/* /etc/docker

# 修改docker守护线程的配置
vim /lib/systemd/system/docker.service
# 找到 ExecStart 并替换

## 这是默认配置,意思是:监听unix域套接字,而不是tcp/ip端口
# ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
## 方式一:这是 直接监听2375端口,任意ip都可以访问,只要别人知道了你的ip和端口,都能连接。不安全!!!
# ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H=0.0.0.0:2375
### 方式二:启用TLS验证,使用TLS模式监听2376端口 (防火墙记得放开,允许外网通过tcp访问该端口,云服务器在安全组设置入站规则)
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock \
  --tlscacert=/etc/docker/ca.pem \
  --tlscert=/etc/docker/server-cert.pem \
  --tlskey=/etc/docker/server-key.pem \
  -H=0.0.0.0:2376


# 重载docker守护进程配置 
sudo systemctl daemon-reload	
# 重启docker服务  
sudo service docker restart		

执行脚本示意图
脚本执行示意图

4. 测试客户端通过TLS方式是否能访问docker

命令任选其一,测试:

# 客户端加tls参数访问
docker --tlsverify --tlscacert=client/ca.pem --tlscert=client/cert.pem --tlskey=client/key.pem -H tcp://127.0.0.1:2376 version
 
# Docker API方式访问
curl https://127.0.0.1:2376/images/json --cert client/cert.pem --key client/key.pem --cacert client/ca.pem

测试成功

ok

2)、使用Alibaba Cloud Toolkit插件远程操作Docker

  1. 拷贝 “/client”客户端相关文件到window本地,比如:我拷贝到C:\Users\HZL\yk证书\client

  2. File –> Settings –> Alibaba Cloud Toolkit –> Docker配置 TCP连接https://ip:端口,并测试。

    • 勾选 Enable authentication ,指定 CA证书目录,目录下必须要有三个文件: key.pemcert.pemca.pem

    • 点击 Test Connection测试连接, 提示 success ,代表TCP连接远程docker成功

    success

  3. 添加 Docker Image配置,创建 新的Docker连接

添加docker

配置好后,保存退出,

View -> Tool Windows -> Services 调出控制台

services

点击,刚才配置的 远程服务器的Docker,连接成功后,会显示容器内部的详情,如下:

双击

FAQ:

FAQ1: Can not generate private key from file: C:\Users\xxx\key.pem

FAQ2: Can not generate private key from file: C:\Users\xxx\cert.pem

FAQ3: Can not generate private key from file: C:\Users\xxx\ca.pem

FAQ1-3的问题类似:Alibaba Cloud Toolkit 内部固定默认读取 key.pemcert.pemca.pem文件,如果提示这个,就是因为你指定的证书目录下,没有这三个文件,或者你的文件名不一致导致找不到。重命名即可,或者重新生成。

默认文件

FAQ4: TCP远程连接Docker服务测试Success,但是双击Docker,又连不上。

openssl-success
fail

原因:出在生成CA证书的时候,颁发者Common Name 设置了 /CN=*正确应该是,设置远程Docker所在的服务器公网IP或域名。这种情况, 重新生成CA证书即可解决。

转载

[ Docker Daemon 连接方式详解 ] : https://www.jianshu.com/p/7ba1a93e6de4

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/586508.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

内存对齐原则

struct (1)结构体第一个数据成员放在offset为0的地方,后面每个成员相对于结构体首地址的偏移量(offset)都是成员大小(该变量类型所占字节)的整数倍,如有需要编译器会在成员之间加上填…

中国人工智能学会主办!真实AIGC业务数据驱动,欢迎全球开发者参加

近期,由百度商业联合中国人工智能学会举办、NVIDIA提供战略支持,百度飞桨承办的“百度商业AI技术创新大赛”正式启动,启动会现场,中国工程院院士、中国人工智能学会理事长、清华大学信息科学技术学院院长戴琼海院士通过视频方式对…

chatgpt赋能python:在Python中一行书写两条语句:提高代码效率的好策略

在Python中一行书写两条语句:提高代码效率的好策略 从一开始Python就是因为简单易用、快速开发、名字有趣等因素而受到开发者的喜爱。当然,解释型语言也是Python深受欢迎的原因之一,你可以在Linux、Windows、Mac等各种平台上运行Python脚本&…

基于SSM的图书借阅管理系统

1.项目介绍 本项目是一款基于SpringSpring MVCMybatis的图书借阅管理系统,主要针对计算机相关主页的正在做课程设计的学生与需要项目实战学习、练习的Java学生人群。 该系统基于B/S架构,采用SpringSpring MVCMybatis框架技术,并结合主流的轻…

一起了解AJAX

注册账号的时候账号不能重复,通过AJAX实现实时验证当前注册的账号是否存在。 1.1register.jsp. 1.2HomeRegisterServlet. 2.JSON概述. 2.1何为JSON. JSON即 JavaScript Object Notation (js对象标记) ,是一种轻量级的数据交换格式&#xf…

Eclipse教程 Ⅷ

Eclipse Debug 配置 创建和使用 Debug 配置 Eclipse Debug 配置类似于运行配置但它是用于在调试模式下开启应用。 打开 Debug 配置对话框步骤为:Run > Debug Configurations 。 从左侧列表中选择 "Java Application" 选项来选择要调试的 Java 代码。…

使用KubeSphere3.3在Ubuntu20.04的Kubernetes1.24上部署Word Press

使用KubeSphere3.3在Ubuntu20.04的Kubernetes1.24上部署Word Press 前言 之前已经部署了KubeSphere和K8S的基础环境:https://lizhiyong.blog.csdn.net/article/details/126236516 部署了大数据统一文件编排层Alluxio:https://lizhiyong.blog.csdn.net…

抖音seo源码开发开源--MySQL语言

源码开发是指基于开放源代码的软件或应用程序进行开发和定制。开放源代码是指软件或应用程序的源代码是公开的,任何人都可以查看、修改和分享。源码开发者可以从开放的源代码中学习和了解软件的工作原理,并基于自己的需求进行修改、定制和扩展。开放源代…

chatgpt赋能python:Python字符串首字母大写的方法

Python字符串首字母大写的方法 Python是一种高级编程语言,广泛用于科学计算、Web开发和网络编程等多个领域。在Python编程中,我们常常需要将字符串首字母大写,以符合一些规范或要求。在本文中,我们将介绍Python中将字符串首字母大…

效率至少提升数倍的office技巧

在现代办公室,WPS Office已成为无可替代的工具之一。然而,许多办公室员工却未能充分发掘WPS Office的强大功能和技巧。在快节奏的工作环境中,掌握一些WPS Office的技巧,将帮助员工们提高工作效率、改善文件处理和团队协作能力。下…

用CSS来做一个动画案例

今天来做这么一个案例 添加一个动画实现上下渐变滚动的效果 首先还是我们HTML部分&#xff0c;一个大盒子装着五个子元素 下面别在意&#xff0c;之前写的时候看到有个网站有这么个注解我就复制了下来哈哈哈 <div class"loader"><div class"slider&…

【SpringCloud——Docker】

一、什么是Docker 二、Docker的基本操作 1、Docker操作镜像 镜像名称一般由两部分组成&#xff1a;[repository]:[tag] 在没有指定tag时&#xff0c;默认是latest&#xff0c;代表最新版本的镜像。 1.1、启动Docker服务 systemctl start docker1.2、查看Docker运行状态 syst…

34.序列中删除指定数组以及编写代码过程中遇到的问题

描述 有一个整数序列&#xff08;可能有重复的整数&#xff09;&#xff0c;现删除指定的某一个整数&#xff0c;输出删除指定数字之后的序列&#xff0c;序列中未被删除数字的前后位置没有发生改变。 数据范围&#xff1a;序列长度和序列中的值都满足 1≤&#xfffd;≤501≤…

外贸商城ERP系统-海外跨境电商平台【APP+小程序+PC多端同步商城系统】

外贸商城ERP跨境电商系统是帮助打开海外贸易&#xff0c;线上出海贸易的平台&#xff0c;欢迎名片探讨开发跨境电商系统&#xff0c;相互学习成长。 一、基础功能架构 跨境全球跨境贸易多语言无货源多国货币一键铺货后台采集多商户一件代发视频直播带货国JI化UI面板国际多类型…

音视频专栏-DTSPTS

一&#xff0c;网上很多人都在讲dts和pts&#xff0c;但是么有几个人把这个问题讲清楚&#xff0c;讲明白的&#xff0c;甚至很多做了很多年的音视频开发的人都搞不明白&#xff0c;今天我把原理图整理下&#xff0c;和大家一起学习&#xff0c;如有问题&#xff0c;欢迎批评指…

电子科技大学编译原理复习笔记(六):自上而下的语法分析

目录 前言 重点一览 引言 语法分析的功能 语法分析的分类 自上而下分析方法 回溯分析法 回溯分析法例子 方法 存在的问题 产生的原因 特点 解决缺陷 消除回溯&#xff08;重点&#xff09; 递归下降分析器 递归下降分析法 递归过程的构造 扩充BNF 改进的递…

MATLAB机器学习:分类、回归和聚类的算法实现和模型优化

第一章&#xff1a;引言 机器学习是当今IT领域最热门的话题之一&#xff0c;它为我们提供了解决复杂问题的新方法。MATLAB作为一种功能强大的编程语言和环境&#xff0c;提供了许多用于机器学习的工具和函数。本文将介绍MATLAB中常用的分类、回归和聚类算法的实现&#xff0c;…

chatgpt赋能python:Python中将数字倒序:一种简单的方法提高代码效率

Python中将数字倒序&#xff1a;一种简单的方法提高代码效率 数字倒序是Python中一种实用的操作。网站开发者和数据分析师通常需要对数字进行反转&#xff0c;以使其更容易阅读和理解。虽然有多种方法可以实现数字反转&#xff0c;但在绝大多数情况下&#xff0c;使用Python中…

详解浏览器渲染原理及流程

今天来分享一下浏览器的渲染原理及流程。 前言 先来看看 Chrome 浏览器的多进程架构&#xff1a; 通常&#xff0c;我们打包出来的 HTML、CSS、JavaScript 等文件&#xff0c;经过浏览器运行之后就会显示出页面&#xff0c;这个过程就是浏览器的渲染进程来操作实现的&#xf…

Windows安装和启动SSH服务

前言 作者在做项目时遇到需要从Windows系统远程传文件到Ubuntu系统&#xff0c;Ubuntu系统这边使用了gFTP的文件传输工具&#xff0c;但是远程Windows时发现老是连接不上&#xff0c;后面发现是Windows这边没有开启SSH服务。 找了一些文章&#xff0c;结合自己的操作把配置方法…