tag - store docker images




Управление удаленными докерными машинами из нескольких машин разработки (2)

Используя TLS-связь, докер использует двухстороннюю проверку SSL. Другими словами, клиент не только проверяет сервер, но и наоборот. Создав докер-машину с включенным TLS, вы становитесь собственным центром сертификации (CA), и, таким образом, вы несете ответственность за управление сертификатами SSL. Docker-машина делает это за кулисами, но я считаю, что вы можете вручную настроить самозаверяющий ЦС и перенаправить Docker для использования сертификатов и ключей, которые вы настраиваете. Таким образом, вместо совместного использования единого сертификата и ключа ко всем рабочим станциям разработчика вы получите уникальный сертификат и закрытый ключ для каждого разработчика, подписанного закрытым ключом CA. Единственное, что должно быть общим для всех, - это сертификат CA, который является общедоступным.

Преимущество этого заключается в том, что вы можете отозвать сертификат, как только разработчик уйдет, хотя это сложно с самоподписанными сертификатами, и он позволяет подотчетность, где вы можете проверить, кто сделал что из журналов.

Настройка Docker TLS.

Станьте своим собственным учебником CA и отзывом сертификата

Могут ли докеры, созданные с одной рабочей станции разработчика, используя команды докеров-машин, управляться с другой рабочей станции. Я не ищу решение с участием докеров, но только докер.

Из моего понимания, когда докер-машина создает машину в удаленной среде, такой как AWS EC2, она создает ключи и сертификаты, которые затем используются для связи на основе TLS с машиной в будущем. Поэтому теоретически, если я копирую эти ключи и сертификаты на другую машину для разработчиков, я должен быть в состоянии подключиться к этой машине удаленного докера.

Тем не менее, я хотел бы знать, является ли это ожидаемым методом для выполнения того, что я ищу. IMO это будет сценарий, с которым может столкнуться большая часть сообщества докеров, поскольку несколько членов команды должны будут совместно использовать одну и ту же удаленную докерную машину.

Любые указания в этом вопросе будут действительно оценены.


Существует внешний инструмент для импорта / экспорта докеров-машин: machine-share .

machine-export <machine-name>
>> exported to <machine-name>.zip
machine-import <machine-name>.zip
>> imported

В стороне, я считаю, что решение Дэниела превосходит, но требует значительных инвестиций в инструменты / рабочие процессы. machine-export должен быть достаточным в 95% случаев.





docker-machine