docker-java使用docker 2375或者2376端口

最新推荐文章于 2025-01-14 13:26:06 发布
最新推荐文章于 2025-01-14 13:26:06 发布
阅读量921 收藏 2
点赞数
分类专栏: docker和harbor 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yinghuo233/article/details/107839381
版权

一、docker 使用TLS开启2376

1.1  使用Openssl 生成CA、服务器和客户端密钥

#cd 到证书生成目录

cd /etc/.docker/certs

$HOST为服务器ip

$ openssl genrsa -aes256 -out ca-key.pem 4096

Generating RSA private key, 4096 bit long modulus

............................................................................................................................................................................................++

........++

e is 65537 (0x10001)

Enter pass phrase for ca-key.pem:

Verifying - Enter pass phrase for ca-key.pem:

$ openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem

Enter pass phrase for ca-key.pem:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:Henan

Locality Name (eg, city) []:Zhengzhou

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Inspur

Organizational Unit Name (eg, section) []:Inspur

Common Name (e.g. server FQDN or YOUR name) []:$HOST

Email Address []:wjy@inspur.co

1.2  生成服务器密钥和证书签名请求

$ openssl genrsa -out server-key.pem 4096

Generating RSA private key, 4096 bit long modulus

.....................................................................++

.................................................................................................++

e is 65537 (0x10001)

$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

1.3  指定IP地址和DNS名称

echo subjectAltName = DNS:$HOST,IP:10.151.11.52,IP:127.0.0.1,IP:0.0.0.0 >> extfile.cnf

#将docker守护进程密钥的扩展使用属性设置为仅使用于服务器的身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

1.4  生成签名证书

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \

  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

Signature ok

subject=/CN=your.host.com

Getting CA Private Key

Enter pass phrase for ca-key.pem:

1.5  生成客户端密钥和证书签名请求

$ openssl genrsa -out key.pem 4096

Generating RSA private key, 4096 bit long modulus

.........................................................++

................++

e is 65537 (0x10001)

$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

$ echo extendedKeyUsage = clientAuth > extfile-client.cnf

#生成签名证书

$ openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \

  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

Signature ok

subject=/CN=client

Getting CA Private Key

Enter pass phrase for ca-key.pem:

#删除证书签名请求和扩展配置文件

$ rm -v client.csr server.csr extfile.cnf extfile-client.cnf

#删除密钥的写权限,保护密钥不受意外损坏

$ chmod -v 0400 ca-key.pem key.pem server-key.pem

$ chmod -v 0444 ca.pem server-cert.pem cert.pem

#生成证书结果:

 

1.6  开启docker 2376端口

#打开docker service文件

vim /etc/systemd/system/docker.service

在ExecStart=/usr/bin/dockerd-current 后面增加

 --tlsverify --tlscacert=/etc/.docker/certs/ca.pem --tlscert=/etc/.docker/certs/server-cert.pem \--tlskey=/etc/.docker/certs/server-key.pem -H tcp://0.0.0.0:2376  -H unix:///var/run/docker.sock

#重启docker

systemctl daemon-reload

systemctl restart docker

1.7  配置客户端

1. 创建证书目录

mkdir -pv ~/.docker/certs/cd ~/.docker/certs/

2. 将服务端/etc/.docker/certs中ca.pem、cert.pem、key.pem这3个文件拷贝到当前目录

scp ca.pem cert.pem key.pem ~/.docker/certs

文件为ca.pem、cert.pem、key.pem,IDEA工具连接直接选择客户端证书文件夹就行

1.8  IDEA连接docker配置(可选)

1、打开IDEA,点击File->Settings, 在搜索栏输入docker

2、在API URL中端口可以输入自己开启的2375或者2376

 

二、docker 开启2375端口

#打开docker service文件

vim /etc/systemd/system/docker.service

在ExecStart=/usr/bin/dockerd-current 后面增加 -H tcp://0.0.0.0:2375

#重启docker

systemctl daemon-reload

systemctl restart docker

三、docker-java配置使用2375或者2376端口

3.1 pom.xml中引入依赖的maven包

<dependency>
    <groupId>com.github.docker-java</groupId>
    <artifactId>docker-java</artifactId>
    <version>3.2.5</version>
</dependency>

<dependency>
    <groupId>com.github.docker-java</groupId>
    <artifactId>docker-java-core</artifactId>
    <version>3.2.5</version>
</dependency>

<dependency>
    <groupId>com.github.docker-java</groupId>
    <artifactId>docker-java-transport-httpclient5</artifactId>
    <version>3.2.5</version>
</dependency>

3.2连接2376端口

DockerClientConfig config = DefaultDockerClientConfig.createDefaultConfigBuilder()
        .withDockerHost("tcp://10.151.11.51:2376")
        .withDockerTlsVerify(true)
        .withDockerCertPath("~/.docker/certs")
        .withRegistryUsername("admin")
        .withRegistryPassword("123456a?")
        .withRegistryUrl("http://10.151.11.51:5000")
        .build();

DockerHttpClient httpClient = new ApacheDockerHttpClient.Builder()
        .dockerHost(config.getDockerHost())
        .sslConfig(config.getSSLConfig())
        .build();

DockerClient dockerClient = DockerClientImpl.getInstance(config, httpClient);

3.3 连接2375端口

DockerClientConfig config = DefaultDockerClientConfig.createDefaultConfigBuilder()
                .withDockerHost("tcp://10.151.11.51:2375")
                .withDockerTlsVerify(false)
//                .withDockerCertPath("~/.docker/certs")
                .withRegistryUsername("admin")
                .withRegistryPassword("123456a?")
                .withRegistryUrl("http://10.151.11.51:5000")
                .build();

DockerHttpClient httpClient = new ApacheDockerHttpClient.Builder()
                .dockerHost(config.getDockerHost())
                .sslConfig(config.getSSLConfig())
                .build();

DockerClient dockerClient = DockerClientImpl.getInstance(config, httpClient);

配置完成,可以使用docker-java对docker服务器的镜像和镜像仓库中的镜像进行操作。

参考链接:

https://docs.docker.com/engine/security/https/

https://github.com/docker-java/docker-java/blob/3.2.5/docs/getting_started.md

docker-compose】docker-compose的详细使用
linjun的博客
09-05 1万+
我们知道使⽤⼀个 Dockerfile 模板⽂件,可以让⽤户很⽅便的定义⼀个单独的应⽤容器。然⽽,在⽇常⼯作中,经常会碰到需要多个容器相互配合来完成某项任务的情况。例如要实现⼀个 Web 项⽬,除了 Web 服务容器本身,往往还需要再加上后端的数据库服务容器,甚⾄还包括负载均衡容器等,我们只能一个一个 ` 写dockerfile文件,然后bulid构建,run手动操作单个容器 ` Compose 恰好满⾜了这样的需求。
使用java管理docker_SpringBoot - 使用docker-java远程管理docker教程1(安装配置、基本用法)...
weixin_34768019的博客
03-02 1512
通常我们都是采用 dos 命令对 docker 进行操作,如果需要采用 Java 程序来管理 docker,可以借助 docker-javadocker-javaDockerJava 版本 API,下面通过样例演示其如何使用。一、安装配置1、服务端设置(1)由于访问 dockerAPI 需要设置一个远程访问端口,首先执行如下命令编辑服务器上的 docker.service 文件。vi ...
docker配置2376端口
xwnxwn的专栏
06-17 1064
也就是你接下来要允许那些ip可以连接到服务器的docker,因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用。前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的,因此,docker官方推荐使用加密的tcp连接,以Https的方式与客户端建立连接。
Docker 开放2375端口
m0_37642745的博客
06-05 323
一、找到docker.service文件 systemctl status docker 二、修改docker.service文件 修改为: ExecStart=/usr/local/bin/dockerd -H tcp://0.0.0.0:2375 三、重启docker systemctl daemon-reload systemctl restart docker ...
docker 开放 2375端口
weixin_30888707的博客
09-26 1132
docker.service 文件内容在不同 docker 版本中不一样,这给不少人造成了一定疑惑,本文针对目前所见两种文件内容进行不同操作。 第一种 编辑docker 文件 vi /usr/lib/systemd/system/docker.service 在 ExecStart 行最后面加入红框中的内容 -H tcp://0.0.0.0:2375 ...
centos7 docker开启认证的远程端口2376配置
J_Lee
11-24 1268
centos7 docker开启认证的远程端口2376配置
java8看不到源码-docker-oracle-java8:docker-oracle-java8
06-04
java8 看不到源码 Oracle-java8 在容器 wnameless/oracle-xe-11g(Ubuntu 16.04 LTS 上的 Oracle Express 11g R2)之上添加 Java8 的容器。 建造 docker build -t oracle-java8 . 跑步 docker run -it --rm oracle-...
docker-compose-rule:使用docker-compose管理Docker容器的JUnit规则
02-01
如果您在使用Docker进行测试时遇到以下任何情况,则该库有望为您提供帮助: 编排多个服务并将端口映射到Docker计算机外部,以便可以在测试中进行断言 需要知道服务何时启动,以防止由于启动速度慢或服务依赖关系...
java8看不到源码-docker-oracle-java8-ant:docker-oracle-java8-ant
06-04
java8 看不到源码 oracle-java8-ant 在容器 sunithar/oracle-java8(带有 Java8 的 Ubuntu 16.04 LTS 上的 Oracle Express 11g R2)之上添加 Apache Ant 的容器。 建造 docker build -t oracle-java8-ant . 跑步 ...
docker 2376端口 CA 认证,并不能阻止服务器成为肉鸡
a01021111230的博客
09-10 677
看网上很多评论;自签CA证书,生成服务器CA签名证书,和客户端CA签名证书;docker服务端配置客户端,允许docker远程控制的客户端,配置客户端CA;只有该客户端CA签名证书才能远程控制docker;其实不对的。 docker的服务端CA,和客户端CA,只是完成了双方的信息双向加密。docker并没有进行双方身份的认证,所以2376端口是不安全的。 可以使用两套CA证书机构,分别签服务端CA证书,和客户端证书,验证,本人已验证,直接说结论: 客户端随便一个CA证书签名的客户端CA证书都可
docker开启2376端口CA认证
qq_20161461的博客
09-27 633
Docker CA认证 1、创建ca文件夹,存放CA私钥和公钥 mkdir -p /usr/local/ca cd /usr/local/ca/ 2、创建密码 需要连续输入两次相同的密码 openssl genrsa -aes256 -out ca-key.pem 4096 3、依次输入密码、国家、省、市、组织名称等 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 4、生成server-key.pem opens
Docker 开启2375端口
波特多的博客
12-10 725
第一步: 确认 docker.service 文件的位置 systemctl status docker 返回结果如下 docker.service路径为(不同liunx有可能不一样) /lib/systemd/system/docker.service 第二步:修改 docker.service sudo vim /lib/systemd/system/docker.service /u...
docker配置tls (一) 2376安全配置
lanwp5302的博客
04-17 5301
一、官方资料 官网资料 https://docs.docker.com/engine/reference/commandline/dockerd/ 创建证书步骤 官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/ 二、创建证书 生成的证书 ca-key.pem ca.pem ...
docker2376连接端口设置CA证书详细过程
weixin_44012722的博客
04-20 1120
如何修复该漏洞 如果要安全的管理远程Docker主机,应该怎么做呢?其实,Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了。 首先要准备5个证书和秘钥文件,分别是ca.pem、server-cert.pem、server-key.pem、client-cert.pem和client-key.pem。其中,server-cert.pem中限制了能够访问Docker...
docker开启TLS远程访问 2376
lms99251的博客
07-18 2102
docker开启TLS远程访问的方法
Docker基础25--5.6 配置docker远程服务
weixin_43631940的博客
11-01 1081
通过tcp:2375端口实现docker远程服务,通过TCP:2376端口+TLS方式实现docker远程服务
如何开放23752376端口Docker daemon监听
wcy_1011的专栏
01-14 814
通过上述步骤,你可以在不同操作系统上配置 Docker daemon 监听 23752376 端口,并根据需要进行安全加固。
Docker暴露2375端口,引起安全漏洞
热门推荐
xinxinyunli的博客
05-30 2万+
Docker暴露2375端口,引起安全漏洞
docker-java Connect to http://localhost:2376
最新发布
04-01
### 解决方案 当尝试通过 Docker Java API 连接到位于 `http://localhost:2376` 的 Docker 守护进程时,可能会遇到配置或网络相关的问题。以下是详细的分析和解决方案。 #### 1. 配置守护进程监听端口 默认情况下,Docker 守护进程可能不会监听指定的 TCP 端口(如 2376)。为了使它能够接受远程连接,需要修改其配置文件并重新加载服务: - 编辑 `/etc/docker/daemon.json` 文件,添加以下内容以启用特定 IP 地址和端口的监听: ```json { "hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"] } ``` - 执行以下命令以应用更改并重启 Docker 服务[^1]: ```bash sudo systemctl daemon-reload sudo systemctl restart docker ``` 确认 Docker 是否成功绑定到指定端口: ```bash sudo netstat -tuln | grep 2376 ``` 如果没有看到任何输出,则说明配置未生效,需进一步排查。 #### 2. 卸载旧版本冲突组件 如果之前安装过其他版本的 Docker 或者存在残留文件,可能导致当前版本无法正常工作。可以通过以下命令清理环境后再重新安装最新版 Docker[^2]: ```bash sudo yum remove docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-engine ``` 之后按照官方文档指导完成全新部署流程即可。 #### 3. DNS 设置问题引发错误 某些场景下由于本地DNS解析异常也会造成类似的访问障碍现象。比如当你试图pull某个远端镜像却收到类似下面这样的反馈信息时: > Error response from daemon: Get https://registry-1.docker.io/v2/: proxyconnect tcp: dial tcp: lookup www.ik8s.ip on 183.60.83.19:53: no such host 此时建议调整系统的DNS服务器指向更稳定的服务提供商例如Google Public DNS (8.8.8.8)[^3]. 修改方法如下所示: 编辑 `/etc/resolv.conf`, 添加或者替换现有条目为: ``` nameserver 8.8.8.8 nameserver 8.8.4.4 ``` 保存退出后再次测试联网状况看是否有改善. #### 4. 特定防火墙规则阻止通信 还需注意的是企业内部网络安全策略往往会对进出流量加以限制从而影响外部资源获取能力。因此有必要核查iptables设定是否存在针对目标端口号(此处即指代2376)所施加的封锁措施。可临时关闭firewalld来验证假设成立与否: ```bash sudo systemctl stop firewalld ``` 当然生产环境中不推荐完全禁用防护机制而是应该精确放行所需请求路径。 最后附上一段简单的Java代码片段用于演示如何借助[Docker-java](https://github.com/docker-java/docker-java)库实现基本交互功能: ```java import com.github.dockerjava.api.DockerClient; import com.github.dockerjava.core.DefaultDockerClientConfig; import com.github.dockerjava.core.DockerClientBuilder; public class Main { public static void main(String[] args){ DefaultDockerClientConfig config = DefaultDockerClientConfig.createDefaultConfigBuilder() .withDockerHost("tcp://localhost:2376") // Set remote endpoint here. .build(); DockerClient client = DockerClientBuilder.getInstance(config).build(); System.out.println(client.infoCmd().exec()); } } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

莹火233

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值