Docker
Z Poznámkový blok
Obsah
Instalace
Nastavení depositáře
sudo apt update sudo apt install ca-certificates curl gnupg
sudo install -m 0755 -d /etc/apt/keyrings curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg sudo chmod a+r /etc/apt/keyrings/docker.gpg
echo \ "deb [arch="$(dpkg --print-architecture)" signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian \ "$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | \ sudo tee /etc/apt/sources.list.d/docker.list > /dev/null sudo apt update
Instalace
sudo apt update sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
Vytvoření self-signed certifikátu
Doporučuji si nachystat prostředí
mkdir /etc/ssl/certs/docker chmod -v 0444 /etc/ssl/certs/docker cd /etc/ssl/certs/docker
Vytváření server certifikát na 10 let (Měnit proměný který obsahují $)
openssl genrsa -aes256 -out ca-key.pem 4096 openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem openssl genrsa -out server-key.pem 4096 openssl req -subj "/CN=$LOCALHOST_DOMAIN" -sha256 -new -key server-key.pem -out server.csr echo subjectAltName = DNS:$LOCALHOST_DOMAIN,DNS:$HOST_DOMAIN,IP:127.0.0.1 >> extfile.cnf echo extendedKeyUsage = serverAuth >> extfile.cnf openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Vytváření client certifikát na 10 let
openssl genrsa -out key.pem 4096 openssl req -subj '/CN=client' -new -key key.pem -out client.csr echo extendedKeyUsage = clientAuth > extfile-client.cnf openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
Změna práv pro certifikáty a pročištění
chmod -v 0400 ca-key.pem key.pem server-key.pem chmod -v 0444 ca.pem server-cert.pem cert.pem rm -v client.csr server.csr extfile.cnf extfile-client.cnf
- https://medium.com/trabe/using-docker-engine-api-securely-584e0882158e
- https://docs.docker.com/engine/security/protect-access/
Otevření socketu ven
Override config
sudo mkdir /etc/systemd/system/docker.service.d nano /etc/systemd/system/docker.service.d/override.conf
Nastavení pro nešifrovaný otevření socketu, nedoporučeno
[Service] ExecStart= ExecStart=/usr/bin/dockerd -H fd:// -H tcp://IP_ADRESA:2735 --ipv6=false --tls=false
Nastavení pro šifrovaný otevření socketu, doporučeno
[Service] ExecStart= ExecStart=/usr/bin/dockerd -H fd:// -H tcp:///IP_ADRESA:2376 --ipv6=false --tlsverify --tlscacert=/CESTA/ca.pem --tlscert=/CESTA/server-cert.pem --tlskey=/CESTA/server-key.pem
- https://docs.docker.com/config/daemon/remote-access/
- https://stackoverflow.com/questions/57996938/could-not-edit-systemd-service-file
Restartování
sudo systemctl daemon-reload sudo systemctl restart docker.service
Povolení ufw
ufw allow 2375/tcp
nebo
ufw allow 2376/tcp