dockerd remote tls access [miguel angel torres egea]

Aquesta pàgina és només de lectura. Podeu veure'n el codi font, però no podeu canviar-la. Consulteu el vostre administrador si penseu que això és degut a algun error.
= dockerd remote tls access
== via
  * [[https://docs.docker.com/engine/security/https/]]
  * [[https://nickjanetakis.com/blog/docker-tip-73-connecting-to-a-remote-docker-daemon]]
  * [[https://success.docker.com/article/how-do-i-enable-the-remote-api-for-dockerd]]
  * https://medium.com/@ssmak/how-to-enable-docker-remote-api-on-docker-host-7b73bd3278c6

== setup
  * pretendemos "asegurar" la conexión con el **dockerd** de manera que solo los clientes con certificado firmado por la misma CA que el servidor puedan conectarse
  * nos permite limitar el acceso al **dockerd** local y además es el paso previo a permitir conexiones remotas para gesiontarlo

=== certificados
  - crear CA:<code bash>openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem</code>
    * el **Common Name** ha de apuntar al FQDN de la máquina
  - crear key y CSR:<code bash>openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr</code>
    * $HOST por el FQDN
  - generar direcciones y atributos:<code bash; extfile.cnf>echo subjectAltName = DNS:<FQDN>DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf</code>
    * por FQDN y por $HOST (por si acaso)
    * **IP:** solo si es necesario más allá de 127.0.0.1
  - generar el certificado firmado: <code bash>openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
</code>
  - generar KEY cliente + CSR: <code bash>openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr</code>
  - crear atributos del certificado cliente:<code bash; extfile-client.cnf>echo extendedKeyUsage = clientAuth > extfile-client.cnf</code>
  - generación del certificado firmado: <code bash>openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf</code>
  - ahora ya se pueden eliminar los CSR y atributos:<code bash>rm -v client.csr server.csr extfile.cnf extfile-client.cnf</code>
  - y asegurar el acceso a los ficheros importantes:<code bash>chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem</code>

=== dockerd
  - decirle al dockerd que solo acepete conexiónes "seguras":<code bash>sudo systemctl stop docker.service
sudo dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=0.0.0.0:2376</code>
  - <del>ejecución "siempre"</del>:
    - crear el fichero: <code bash; /etc/systemd/system/docker.service.d/override.conf>[Service]
ExecStart=
ExecStart=/usr/bin/dockerd -H fd:// -H tcp://0.0.0.0:2376</code>
    - recargar el demonio de **systemctl** para que coja la nueva configuración:<code bash>systemctl daemon-reload</code>
    - rearrancar el servicio de dockerd: <code bash>systemctl restart docker.service</code>

=== docker
  - las conexiones de cliente se tendrán que hacer así:<code bash>docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=$HOST:2376 version</code>
  - para hacerlo de manera segura "por defecto":<code bash>mkdir -pv ~/.docker
cp -v {ca,cert,key}.pem ~/.docker
export DOCKER_HOST=tcp://$HOST:2376 DOCKER_TLS_VERIFY=1</code>