29

docker-machine コマンドを使用して 1 つの開発者ワークステーションから作成された Docker マシンは、別のワークステーションから管理できますか。docker swarm を含むソリューションを探しているのではなく、docker マシンだけを探しています。

私の理解では、docker-machine が AWS EC2 のようなリモート環境でマシンを作成すると、キーと証明書が作成され、その後マシンへの TLS ベースの通信に使用されます。したがって、理論的には、これらのキーと証明書を別の開発者マシンにコピーすると、そのリモート Docker マシンに接続できるはずです。

ただし、それが私がやりたいことを達成するための予想される方法であるかどうかを知りたいです。IMO これは、複数のチーム メンバーが同じリモート Docker マシンを共有および管理する必要があるため、ほとんどの Docker コミュニティが直面する可能性があるシナリオです。

この問題に関するガイダンスをいただければ幸いです。

4

2 に答える 2

29

TLS ベースの通信を使用することで、docker は双方向の SSL 検証を利用しています。つまり、クライアントはサーバーを検証するだけでなく、その逆も行います。TLS が有効になっている Docker マシンを作成することで、独自の認証局 (CA) になり、SSL 証明書の管理を担当することになります。Docker マシンはこれをバックグラウンドで実行しますが、手動で自己署名 CA をセットアップし、Docker を再ポイントして、セットアップした証明書とキーを使用できると思います。したがって、単一の証明書と鍵をすべての開発者ワークステーションで共有する代わりに、CA 秘密鍵によって署名されたすべての開発者に対して一意の証明書と秘密鍵を発行します。全員が共有する必要があるのは、公開されている CA 証明書だけです。

これの利点は、開発者が去ったときに証明書を取り消すことができることです。ただし、これは自己署名証明書では困難であり、ログから誰が何をしたかを確認できる説明責任が可能になります。

Docker TLS セットアップ。

自分の CA になるためのチュートリアルと証明書の失効

于 2015-05-13T03:50:07.317 に答える