如何在 docker-machine 中为机器设置 TLS 证书
How to set TLS Certificates for a machine in docker-machine
我想做的事情:
我在一台机器上 dockerd 运行 将 TLS 验证设置为 true。我想将此主机添加为 docker-machine
中的机器
我做了什么:
我使用以下命令启动 dockerd:
$ sudo dockerd -D --tls=true --tlscert=cert.pem --tlskey=key.pem -H tcp://172.19.48.247:2376
在第二台机器上,我获取了以下变量:
export DOCKER_HOST=tcp://172.19.48.247:2376
export DOCKER_TLS_VERIFY=1
export DOCKER_CERT_PATH=/path/to/ssl
和运行 docker命令成功:
$ docker run busybox echo hello
hello
然后我添加了这个主机docker-machine:
docker-machine create --driver none --url=tcp://172.19.48.247:2376 dockerhost
我哪里错了:
我现在遇到 x509: certificate signed by unknown authority 错误。
$ docker-machine ls
NAME ACTIVE DRIVER STATE URL SWARM DOCKER ERRORS Unknown
dockerhost - none Running tcp://172.19.48.247:2376 Unknown Unable to query docker version: Get https://172.19.48.247:2376/v1.15/version: x509: certificate signed by unknown authority
我试过使用 docker-machine config 但它不起作用:
$ docker-machine config dockerhost --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://172.19.48.247:2376
Incorrect Usage.
Usage: docker-machine config [OPTIONS] [arg...]
Print the connection config for machine
Description:
Argument is a machine name.
Options:
--swarm Display the Swarm config instead of the Docker daemon
flag provided but not defined: -tlsverify
默认情况下,none 驱动程序将配置为使用在 ~/.docker/machine 中找到的 TLS 证书。这不一定是必需的,因为如果您的远程 Docker 主机具有由 ca.pem 你已经到达那个位置了。
我找到了对解决方法 here 的参考,我测试过它似乎确实有效。以下是我遵循的步骤:
docker-machine create -d none --url tcp://remotedocker.example.com:2376 remotedocker
这将创建以下目录:
~/.docker/machine/machines/remotedocker
该目录中有一个名为 config.json 的文件。编辑该文件,并将“.docker/machine/certs”的每个实例更改为“.docker/machine/machines/remotedocker”
通常情况下,当您远程访问Docker时,只需要访问ca.pem、cert.pem和key.pem文件即可。据我所知,config.json 中引用的其他文件可能不会被 none 驱动程序使用,因为 regenerate-certs 未由 none.[=24= 实现]
您需要复制 ca.pem 和 key.pem 文件
此时,您应该可以 运行 docker-machine config remotedocker 或 eval "$(docker-machine env remotedocker)" 并成功使用您的远程守护进程。
我想做的事情:
我在一台机器上 dockerd 运行 将 TLS 验证设置为 true。我想将此主机添加为 docker-machine
我做了什么:
我使用以下命令启动 dockerd:
$ sudo dockerd -D --tls=true --tlscert=cert.pem --tlskey=key.pem -H tcp://172.19.48.247:2376
在第二台机器上,我获取了以下变量:
export DOCKER_HOST=tcp://172.19.48.247:2376
export DOCKER_TLS_VERIFY=1
export DOCKER_CERT_PATH=/path/to/ssl
和运行 docker命令成功:
$ docker run busybox echo hello
hello
然后我添加了这个主机docker-machine:
docker-machine create --driver none --url=tcp://172.19.48.247:2376 dockerhost
我哪里错了:
我现在遇到 x509: certificate signed by unknown authority 错误。
$ docker-machine ls
NAME ACTIVE DRIVER STATE URL SWARM DOCKER ERRORS Unknown
dockerhost - none Running tcp://172.19.48.247:2376 Unknown Unable to query docker version: Get https://172.19.48.247:2376/v1.15/version: x509: certificate signed by unknown authority
我试过使用 docker-machine config 但它不起作用:
$ docker-machine config dockerhost --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://172.19.48.247:2376
Incorrect Usage.
Usage: docker-machine config [OPTIONS] [arg...]
Print the connection config for machine
Description:
Argument is a machine name.
Options:
--swarm Display the Swarm config instead of the Docker daemon
flag provided but not defined: -tlsverify
默认情况下,none 驱动程序将配置为使用在 ~/.docker/machine 中找到的 TLS 证书。这不一定是必需的,因为如果您的远程 Docker 主机具有由 ca.pem 你已经到达那个位置了。
我找到了对解决方法 here 的参考,我测试过它似乎确实有效。以下是我遵循的步骤:
docker-machine create -d none --url tcp://remotedocker.example.com:2376 remotedocker
这将创建以下目录:
~/.docker/machine/machines/remotedocker
该目录中有一个名为 config.json 的文件。编辑该文件,并将“.docker/machine/certs”的每个实例更改为“.docker/machine/machines/remotedocker”
通常情况下,当您远程访问Docker时,只需要访问ca.pem、cert.pem和key.pem文件即可。据我所知,config.json 中引用的其他文件可能不会被 none 驱动程序使用,因为 regenerate-certs 未由 none.[=24= 实现]
您需要复制 ca.pem 和 key.pem 文件
此时,您应该可以 运行 docker-machine config remotedocker 或 eval "$(docker-machine env remotedocker)" 并成功使用您的远程守护进程。