为Docker Swarm配置TLS
2016-07-12 本文已影响335人
zerolinke
Docker Swarm -> Configure Docker Swarm for TLS
为Docker Swarm配置TLS
这个过程中,你创建了两个节点的Swarm集群,一个Docker Engine CLI,一个Swarm Manager和一个CA。如下所示。所有的Docker Engine主机(client,swarm,node1和node2)都有一份CA的证书拷贝和它们各自的通过CA签署的密钥对。
你将完成如下的步骤在这个过程中:
- Step 1: 设置的前提条件
- Step 2: 创建一个CA服务器
- Step 3: 创建并签署密钥
- Step 4: 安装这个密钥
- Step 5: 配置Engine daemon的TLS
- Step 6: 创建Swarm集群
- Step 7: 创建使用TLS的Swarm manager集群
- Step 8: 测试Swarm manager的配置
- Step 9: 配置Engine CLI使用TLS
在开始之前
文章包括使用OpenSSl创建你自己的CA的步骤。这类似于经营自己组织内部的CA和PKI。然而,这不是一个可用于生产环境的CA和PKI指南。这些步骤的仅仅是为了演示满足后续配置Docker Swarm用于TLS。
Step 1: 设置的前提条件
为了完成这个过程你必须搭建5个Linux服务器。可以是物理机和虚拟机的混合;它们也可以是云主机。下面的表格列出了每个服务器的名字和它们的目的。
| 服务器名 | 描述 |
|---|---|
| ca | 作为一个CA服务器 |
| swarm | 作为Swarm Manager |
| node1 | 作为Swarm node |
| node2 | 作为Swarm node |
| client | 作为一个远端的Docker Engine client |
确保你可以使用SSH访问这5个服务器,并且它们之间可以相互通信通过使用DNS名解析。尤其需要:
- 在Swarm Manager和Swarm node之间打开TCP的2376端口
- 在Docker Engine client和Swarm Manager之间打开TCP的3376端口
你可以选择不同的端口如果它们已经被占用了。这个例子假设你通过这些端口使用它们。
每个服务器的操作系统必须兼容Docker Engine。为了简单起见,这一步和下面假设所有的服务器运行在Ubuntu 14.04 LTS上。
Step 2: 创建一个CA服务器
注意:如果你已经有可访问的CA和证书,你可以跳过这一步。
在这一步,你配置一个Linux服务器作为一个CA。你使用这个CA去创建签署密钥。
- 登录这个CA服务器的终端然后提升到root。
$sudo su
- 为CA创建一个私钥命名为
ca-priv-key.pem:
# openssl genrsa -out ca-priv-key.pem 2048
Generating RSA private key, 2048 bit long modulus
...........................................................+++
.....+++
e is 65537 (0x10001)
-
为CA创建一个公钥命名为
ca.pem。这个公钥基于上一步被创建的私钥。
# openssl req -config /usr/lib/ssl/openssl.cnf -new -key ca-priv-key.pem -x509 -days 1825 -out ca.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
<output truncated>
现在你已经配置了一个公钥和私钥对为CA服务。你可以查看每个密钥的内容。查看私钥:
# openssl rsa -in ca-priv-key.pem -noout -text
查看公钥:
# openssl x509 -in ca.pem -noout -text
下面的命令显示了CA的公钥的部分内容。
# openssl x509 -in ca.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 17432010264024107661 (0xf1eaf0f9f41eca8d)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=CA, L=Sanfrancisco, O=Docker Inc
Validity
Not Before: Jan 16 18:28:12 2016 GMT
Not After : Jan 13 18:28:12 2026 GMT
Subject: C=US, ST=CA, L=San Francisco, O=Docker Inc
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:d1:fe:6e:55:d4:93:fc:c9:8a:04:07:2d:ba:f0:
55:97:c5:2c:f5:d7:1d:6a:9b:f0:f0:55:6c:5d:90:
<output truncated>
稍后,你将使用这个证书去签署基础设置中其它服务的密钥。
Step 3: 创建并签署密钥
现在你又一个可用的CA,你需要创建一个密钥对为Swarm Manager,Swarm nodes,和远端的Docker Engine client。所有服务器创建密钥对的命令和处理过程相同。你将创建下面的密钥:
| 密钥名 | 描述 |
|---|---|
| ca-priv-key.pem | 这是CA的私钥必须要保证安全。它被用于在之后签署环境中的其它新节点的密钥。 |
| ca.pem | 这是CA的公钥(也可以叫它证书)。它被安装在环境中的所有节点,用于使节点信任由CA签发的证书。通ca-priv-key.pem文件一起组成了CA的密钥对。 |
| node.csr | 这是一个证书签名请求(CSR).一个CSR是一个有效的CA申请,用于为指定的节点创建一个新的密钥对。 |
| node-priv.key | 一个CA签名的私钥。节点依赖这个密钥证明自己为远端Docker Engine。与node-cert.pem文件一起组成了节点的密钥对。 |
| node-cert.pem | CA签名的证书。在这个例子中没有用。与node-priv.pem文件一起组成了节点的密钥对。 |
下面的命令显示了怎样创建密钥为所有的节点。在你的CA服务器的工作目录中执行这些命令。
- 登录你的CA服务器终端,提升root权限。
$ sudo su
- 为你的Swarm manager创建一个私钥,命名
swarm-priv-key.pem
# openssl genrsa -out swarm-priv-key.pem 2048
Generating RSA private key, 2048 bit long modulus
............................................................+++
........+++
e is 65537 (0x10001)
- 使用上一步你创建的私钥生成一个证书签名请求(CSR)
swarm.csr
# openssl req -subj "/CN=swarm" -new -key swarm-priv-key.pem -out swarm.csr
注意,这里仅仅是为了演示,创建一个CSR的过程在生产环境中于这里有所区别。
- 基于上一步创建的CSR,创建证书
swarm-cert.pem.
# openssl x509 -req -days 1825 -in swarm.csr -CA ca.pem -CAkey ca-priv-key.pem -CAcreateserial -out swarm-cert.pem -extensions v3_req -extfile /usr/lib/ssl/openssl.cnf
<snip>
# openssl rsa -in swarm-priv-key.pem -out swarm-priv-key.pem
你现在已经有了Swarm Manager的密钥对。
- 为基础设施中剩余的节点(node1,node2和client)重复上面的步骤。
记得替换swarm位置的值为你创建密钥的相应节点。
| 服务器名 | 私钥 | CSR | 证书 |
|---|---|---|---|
| node1 | node1-priv-key.pem | node1.csr | node1-cert.pem |
| node2 | node2-priv-key.pem | node2.csr | node2-cert.pem |
| client | client-priv-key.pem | client.csr | client-cert.pem |
- 确认你的工作目录中包含下面的文件:
# ls -l
total 64
-rw-r--r-- 1 root root 1679 Jan 16 18:27 ca-priv-key.pem
-rw-r--r-- 1 root root 1229 Jan 16 18:28 ca.pem
-rw-r--r-- 1 root root 17 Jan 18 09:56 ca.srl
-rw-r--r-- 1 root root 1086 Jan 18 09:56 client-cert.pem
-rw-r--r-- 1 root root 887 Jan 18 09:55 client.csr
-rw-r--r-- 1 root root 1679 Jan 18 09:56 client-priv-key.pem
-rw-r--r-- 1 root root 1082 Jan 18 09:44 node1-cert.pem
-rw-r--r-- 1 root root 887 Jan 18 09:43 node1.csr
-rw-r--r-- 1 root root 1675 Jan 18 09:44 node1-priv-key.pem
-rw-r--r-- 1 root root 1082 Jan 18 09:49 node2-cert.pem
-rw-r--r-- 1 root root 887 Jan 18 09:49 node2.csr
-rw-r--r-- 1 root root 1675 Jan 18 09:49 node2-priv-key.pem
-rw-r--r-- 1 root root 1082 Jan 18 09:42 swarm-cert.pem
-rw-r--r-- 1 root root 887 Jan 18 09:41 swarm.csr
-rw-r--r-- 1 root root 1679 Jan 18 09:42 swarm-priv-key.pem
你可以查看每个密钥的内容。对于私钥:
# openssl rsa -in <key-name> -noout -text
对于公钥(证书):
# openssl x509 -in <key-name> -noout -text
下面的命令显示Swarm Manager的公钥swarm-cert.pem的部分内容.
# openssl x509 -in ca.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 9590646456311914051 (0x8518d2237ad49e43)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=CA, L=Sanfrancisco, O=Docker Inc
Validity
Not Before: Jan 18 09:42:16 2016 GMT
Not After : Jan 15 09:42:16 2026 GMT
Subject: CN=swarm
<output truncated>
Step 4: 安装密钥
在这一步,你要安装密钥到相应基础设施的服务器中。每个服务器需要三个文件:
- 一个CA的公钥文件拷贝(ca.pem)
- 自己的私钥
- 自己的公钥(证书)
下面的步骤显示了如何通过使用scp拷贝这三个文件从CA服务器到每个服务器。作为拷贝的一个步骤,你将重命名每个文件根据下面的每个节点:
| 原始名 | 拷贝名 |
|---|---|
ca.pem |
ca.pem |
<server>-cert.pem |
cert.pem |
<server>-priv-key.pem |
key.pem |
- 登录你的CA服务器终端并且提升root。
$ sudo su
- 在Swarm manager上创建
~/.certs目录。这里我们假设用户的帐号是ubuntu。
$ ssh ubuntu@swarm 'mkdir -p /home/ubuntu/.certs'
