自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

如何在Atomic主機(jī)上遠(yuǎn)程使用 Docker

作者:Trishna Guha
系統(tǒng) Linux 系統(tǒng)運(yùn)維
來自Atomic項目的Atomic主機(jī)是一個輕量級的容器基于的操作系統(tǒng),它可以運(yùn)行 Linux 容器。它已被優(yōu)化為用作云環(huán)境的容器運(yùn)行時系統(tǒng)。

[[184794]]

來自Atomic項目的Atomic主機(jī)是一個輕量級的容器基于的操作系統(tǒng),它可以運(yùn)行 Linux 容器。它已被優(yōu)化為用作云環(huán)境的容器運(yùn)行時系統(tǒng)。例如,它可以托管 Docker 守護(hù)進(jìn)程和容器。有時,你可能需要在該主機(jī)上運(yùn)行 docker 命令,并從其他地方管理服務(wù)器。本文介紹如何遠(yuǎn)程訪問 Fedora Atomic 主機(jī)(你可以在這里下載到它)上的 Docker 守護(hù)進(jìn)程。整個過程由 Ansible 自動完成 - 在涉及到自動化的一切上,這真是一個偉大的工具!

安全備忘錄

由于我們通過網(wǎng)絡(luò)連接,所以我們使用TLS保護(hù) Docker 守護(hù)進(jìn)程。此過程需要客戶端證書和服務(wù)器證書。OpenSSL包用于創(chuàng)建用于建立 TLS 連接的證書密鑰。這里,Atomic主機(jī)運(yùn)行守護(hù)程序,我們的本地的Fedora Workstation充當(dāng)客戶端。

在你按照這些步驟進(jìn)行之前,請注意,任何在客戶端上可以訪問 TLS 證書的進(jìn)程在服務(wù)器上具有完全的 root 訪問權(quán)限。 因此,客戶端可以在服務(wù)器上做任何它想做的事情。我們需要僅向可信任的特定客戶端主機(jī)授予證書訪問權(quán)限。你應(yīng)該將客戶端證書僅復(fù)制到完全由你控制的客戶端主機(jī)。但即使在這種情況下,客戶端機(jī)器的安全也至關(guān)重要。

不過,此方法只是遠(yuǎn)程訪問守護(hù)程序的一種方法。編排工具通常提供更安全的控制。下面的簡單方法適用于個人實(shí)驗(yàn),可能不適合開放式網(wǎng)絡(luò)。

獲取 Ansible role

Chris Houseknecht 寫了一個Ansible role,它會創(chuàng)造所需的所有證書。這樣,你不需要手動運(yùn)行 openssl命令了。 這些在 Ansible role 倉庫中提供。將它克隆到你當(dāng)前的工作主機(jī)。

  1. $ mkdir docker-remote-access  
  2. $ cd docker-remote-access 
  3. $ git clone https://github.com/ansible/role-secure-docker-daemon.git 

創(chuàng)建配置文件

接下來,你必須創(chuàng)建 Ansible 配置文件、清單inventory和劇本playbook文件以設(shè)置客戶端和守護(hù)進(jìn)程。以下說明在 Atomic 主機(jī)上創(chuàng)建客戶端和服務(wù)器證書。然后,獲取客戶端證書到本地。***,它們會配置守護(hù)進(jìn)程以及客戶端,使它們能彼此交互。

這里是你需要的目錄結(jié)構(gòu)。如下所示,創(chuàng)建下面的每個文件。

  1. $ tree docker-remote-access/ 
  2. docker-remote-access/ 
  3. ├── ansible.cfg 
  4. ├── inventory 
  5. ├── remote-access.yml 
  6. └── role-secure-docker-daemon 

ansible.cfg:

  1. $ vim ansible.cfg 
  1. [defaults] 
  2. inventory=inventory 

清單文件(inventory):

  1. $ vim inventory 
  1. [daemonhost] 
  2. 'IP_OF_ATOMIC_HOST' ansible_ssh_private_key_file='PRIVATE_KEY_FILE' 

將清單文件(inventory) 中的 IP_OF_ATOMIC_HOST 替換為 Atomic 主機(jī)的 IP。將 PRIVATE_KEY_FILE 替換為本地系統(tǒng)上的 SSH 私鑰文件的位置。

劇本文件(remote-access.yml):

  1. $ vim remote-access.yml 
  1. name: Docker Client Set up 
  2.   hosts: daemonhost 
  3.   gather_facts: no 
  4.   tasks: 
  5.     - name: Make ~/.docker directory for docker certs 
  6.       local_action: file path='~/.docker' state='directory' 
  7.     - nameAdd Environment variables to ~/.bashrc 
  8.       local_action: lineinfile dest='~/.bashrc' line='export DOCKER_TLS_VERIFY=1\nexport DOCKER_CERT_PATH=~/.docker/\nexport DOCKER_HOST=tcp://{{ inventory_hostname }}:2376\n' state='present' 
  9.     - name: Source ~/.bashrc file 
  10.       local_action: shell source ~/.bashrc 
  11. name: Docker Daemon Set up 
  12.   hosts: daemonhost 
  13.   gather_facts: no 
  14.   remote_user: fedora 
  15.   become: yes 
  16.   become_method: sudo 
  17.   become_user: root 
  18.   roles: 
  19.     - role: role-secure-docker-daemon 
  20.       dds_host: "{{ inventory_hostname }}" 
  21.       dds_server_cert_path: /etc/docker 
  22.       dds_restart_docker: no 
  23.   tasks: 
  24.     - namefetch ca.pem from daemon host 
  25.       fetch
  26.         src: /root/.docker/ca.pem 
  27.         dest: ~/.docker/ 
  28.         fail_on_missing: yes 
  29.         flat: yes 
  30.     - namefetch cert.pem from daemon host 
  31.       fetch
  32.         src: /root/.docker/cert.pem 
  33.         dest: ~/.docker/ 
  34.         fail_on_missing: yes 
  35.         flat: yes 
  36.     - namefetch key.pem from daemon host 
  37.       fetch
  38.         src: /root/.docker/key.pem 
  39.         dest: ~/.docker/ 
  40.         fail_on_missing: yes 
  41.         flat: yes 
  42.     - name: Remove Environment variable OPTIONS from /etc/sysconfig/docker 
  43.       lineinfile: 
  44.         dest: /etc/sysconfig/docker 
  45.         regexp: '^OPTIONS' 
  46.         state: absent 
  47.     - nameModify Environment variable OPTIONS in /etc/sysconfig/docker 
  48.       lineinfile: 
  49.         dest: /etc/sysconfig/docker 
  50.         line: "OPTIONS='--selinux-enabled --log-driver=journald --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H=0.0.0.0:2376 -H=unix:///var/run/docker.sock'" 
  51.         state: present 
  52.     - name: Remove client certs from daemon host 
  53.       file: 
  54.         path: /root/.docker 
  55.         state: absent 
  56.     - name: Reload Docker daemon 
  57.       command: systemctl daemon-reload 
  58.     - name: Restart Docker daemon 
  59.       command: systemctl restart docker.service 

訪問 Atomic 主機(jī)

現(xiàn)在運(yùn)行 Ansible 劇本:

  1. $ ansible-playbook remote-access.yml 

確保 tcp 端口 2376 在你的 Atomic 主機(jī)上打開了。如果你在使用 Openstack,請在安全規(guī)則中添加 TCP 端口 2376。 如果你使用 AWS,請將其添加到你的安全組。

現(xiàn)在,在你的工作站上作為普通用戶運(yùn)行的 docker 命令與 Atomic 主機(jī)的守護(hù)進(jìn)程通信,并在那里執(zhí)行命令。你不需要手動 ssh 或在 Atomic 主機(jī)上發(fā)出命令。這可以讓你遠(yuǎn)程、輕松、安全地啟動容器化應(yīng)用程序。

如果你想克隆 Ansible 劇本和配置文件,這里是 git 倉庫。

docker-daemon

 docker-daemon

責(zé)任編輯:武曉燕 來源: Linux中國
AtomicDocker遠(yuǎn)程
相關(guān)推薦

2013-07-30 09:45:04

KVM虛擬化

2016-10-17 13:33:26

原子主機(jī)AnsibleCockpit

2015-10-23 17:29:24

AtomicOpenStack 應(yīng)用部署

2020-11-30 11:55:07

Docker命令Linux

2009-11-27 15:08:29

Cisco路由器日志

2012-05-07 10:00:56

虛擬機(jī)

2019-07-08 08:59:41

Docker容器主機(jī)

2013-03-12 09:40:56

Ubuntu遠(yuǎn)程桌面

2021-12-27 10:13:51

Goatomic數(shù)據(jù)競爭

2021-09-28 08:00:00

云原生云計算工具

2015-08-31 13:42:06

IDEDockerdoclipser

2015-11-26 10:57:56

DockerOpen vSwitc

2011-03-23 10:17:25

Nagios監(jiān)控

2021-08-19 08:00:00

Windows 11Windows 10虛擬機(jī)

2022-06-10 10:01:17

MacDockerLinux

2016-11-03 20:06:53

UbuntuGrafanaDocker

2019-01-25 18:28:38

Windows 10VMware雙顯示器

2012-03-19 21:19:14

vmwarekvm

2018-03-09 10:07:34

mysql

2015-07-08 11:28:53

云服務(wù)平臺Docker MachDocker
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號