如何在Atomic主機上遠程使用Docker

這篇文章給大家分享的是有關(guān)如何在Atomic主機上遠程使用Docker的內(nèi)容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

來自 Atomic 項目 的 Atomic 主機是一個非常輕量級的容器進行基于的操作控制系統(tǒng)，它可以通過運行 Linux 容器。它已被優(yōu)化為主要用作云環(huán)境的容器運行時信息系統(tǒng)。例如，它可以選擇托管 Docker 守護社會進程和容器。有時，你可能需要在該主機上安全運行 docker 命令，并從企業(yè)其他一些地方經(jīng)濟管理應(yīng)用服務(wù)器。

安全備忘錄

由于我們通過網(wǎng)絡(luò)連接，所以我們使用 TLS 保護 Docker 守護進程。此過程需要客戶端證書和服務(wù)器證書。OpenSSL 包用于創(chuàng)建用于建立 TLS 連接的證書密鑰。這里，Atomic 主機運行守護程序，我們的本地的 Fedora Workstation 充當客戶端。

在你按照這些步驟進行之前，請注意，任何在客戶端上可以訪問 TLS 證書的進程在服務(wù)器上具有完全的 root 訪問權(quán)限。 因此，客戶端可以在服務(wù)器上做任何它想做的事情。我們需要僅向可信任的特定客戶端主機授予證書訪問權(quán)限。你應(yīng)該將客戶端證書僅復(fù)制到完全由你控制的客戶端主機。但即使在這種情況下，客戶端機器的安全也至關(guān)重要。

不過，此方法只是遠程訪問守護程序的一種方法。編排工具通常提供更安全的控制。下面的簡單方法適用于個人實驗，可能不適合開放式網(wǎng)絡(luò)。

獲取 Ansible role

Chris Houseknecht 寫了一個 Ansible role，它會創(chuàng)造所需的所有證書。這樣，你不需要手動運行 openssl 命令了。 這些在 Ansible role 倉庫中提供。將它克隆到你當前的工作主機。

 $ mkdir docker-remote-access
 $ cd docker-remote-access
 $ git clone https://github.com/ansible/role-secure-docker-daemon.git

創(chuàng)建配置文件

接下來，你必須創(chuàng)建 Ansible 配置文件、清單inventory和劇本playbook文件以設(shè)置客戶端和守護進程。以下說明在 Atomic 主機上創(chuàng)建客戶端和服務(wù)器證書。然后，獲取客戶端證書到本地。最后，它們會配置守護進程以及客戶端，使它們能彼此交互。

這里是你需要的目錄結(jié)構(gòu)。如下所示，創(chuàng)建下面的每個文件。

 $ tree docker-remote-access/
 docker-remote-access/
 ├── ansible.cfg
 ├── inventory
 ├── remote-access.yml
 └── role-secure-docker-daemonxxxxxxxxxx6 1$ tree docker-remote-access/2docker-remote-access/3├── ansible.cfg4├── inventory5├── remote-access.yml6└── role-secure-docker-daemon$ tree docker-remote-access/docker-remote-access/├── ansible.cfg├── inventory├── remote-access.yml└── role-secure-docker-daemon

ansible.cfg：

 $ vim ansible.cfg
 [defaults]inventory=inventory

清單文件（inventory）：

 $ vim inventory
 [daemonhost]'IP_OF_ATOMIC_HOST' ansible_ssh_private_key_file='PRIVATE_KEY_FILE'

將清單文件（inventory） 中的 IP_OF_ATOMIC_HOST 替換為 Atomic 主機的 IP。將 PRIVATE_KEY_FILE 替換為本地系統(tǒng)上的 SSH 私鑰文件的位置。

劇本文件（remote-access.yml）：

 - name: Docker Client Set up
   hosts: daemonhost
   gather_facts: no
   tasks:
     - name: Make ~/.docker directory for docker certs
       local_action: file path='~/.docker' state='directory'
     - name: Add Environment variables to ~/.bashrc
       local_action: lineinfile dest='~/.bashrc' line='export DOCKER_TLS_VERIFY=1\nexport DOCKER_CERT_PATH=~/.docker/\nexport DOCKER_HOST=tcp://{{ inventory_hostname }}:2376\n' state='present'
     - name: Source ~/.bashrc file
       local_action: shell source ~/.bashrc
 - name: Docker Daemon Set up
   hosts: daemonhost
   gather_facts: no
   remote_user: fedora
   become: yes
   become_method: sudo
   become_user: root
   roles:
     - role: role-secure-docker-daemon
       dds_host: "{{ inventory_hostname }}"
       dds_server_cert_path: /etc/docker
       dds_restart_docker: no
   tasks:
     - name: fetch ca.pem from daemon host
       fetch:
         src: /root/.docker/ca.pem
         dest: ~/.docker/
         fail_on_missing: yes
         flat: yes
     - name: fetch cert.pem from daemon host
       fetch:
         src: /root/.docker/cert.pem
         dest: ~/.docker/
         fail_on_missing: yes
         flat: yes
     - name: fetch key.pem from daemon host
       fetch:
         src: /root/.docker/key.pem
         dest: ~/.docker/
         fail_on_missing: yes
         flat: yes
     - name: Remove Environment variable OPTIONS from /etc/sysconfig/docker
       lineinfile:
         dest: /etc/sysconfig/docker
         regexp: '^OPTIONS'
         state: absent
     - name: Modify Environment variable OPTIONS in /etc/sysconfig/docker
       lineinfile:
         dest: /etc/sysconfig/docker
         line: "OPTIONS='--selinux-enabled --log-driver=journald --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H=0.0.0.0:2376 -H=unix:///var/run/docker.sock'"
         state: present
     - name: Remove client certs from daemon host
       file:
         path: /root/.docker
         state: absent
     - name: Reload Docker daemon
       command: systemctl daemon-reload
     - name: Restart Docker daemon
       command: systemctl restart docker.service

訪問 Atomic 主機

現(xiàn)在運行 Ansible 劇本：

 $ ansible-playbook remote-access.yml

確保 tcp 端口 2376 在你的 Atomic 主機上打開了。如果你在使用 Openstack，請在安全規(guī)則中添加 TCP 端口 2376。 如果你使用 AWS，請將其添加到你的安全組。

現(xiàn)在，在你的工作站上作為普通用戶運行的 docker 命令與 Atomic 主機的守護進程通信，并在那里執(zhí)行命令。你不需要手動 ssh 或在 Atomic 主機上發(fā)出命令。這可以讓你遠程、輕松、安全地啟動容器化應(yīng)用程序。

如果你想克隆 Ansible 劇本和配置文件，這里是 git 倉庫。

感謝各位的閱讀！關(guān)于“如何在Atomic主機上遠程使用Docker”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！