Подтвердить что ты не робот

Управление удаленными докерными машинами из нескольких машин разработки

Могут ли докеры, созданные с одной рабочей станции разработчика, с помощью команд докер-машины, управляться с другой рабочей станции. Я не ищу решение с участием докеров, но только докер-машину.

Из моего понимания, когда docker-machine создает машину в удаленной среде, такой как AWS EC2, она создает ключи и сертификаты, которые затем используются для связи на основе TLS с машиной в будущем. Поэтому теоретически, если я копирую эти ключи и сертификаты на другую машину разработчика, я должен иметь возможность подключиться к этой удаленной машине докеров.

Однако я хотел бы знать, является ли это ожидаемым методом для выполнения того, что я ищу. IMO это будет сценарий, с которым может столкнуться большая часть сообщества докеров, поскольку несколько членов команды должны будут совместно использовать одну и ту же удаленную докерную машину.

Любое руководство в этом вопросе будет действительно оценено.

4b9b3361

ОТВЕТЫ

Ответ 1

Используя TLS-связь, докер использует двухстороннюю проверку SSL. Другими словами, клиент не только проверяет сервер, но и наоборот. Создав докер-машину с включенным TLS, вы становитесь собственным центром сертификации (CA), и, таким образом, вы несете ответственность за управление сертификатами SSL. Docker-машина делает это за кулисами, но я считаю, что вы можете вручную настроить самозаверяющий ЦС и перенаправить Docker для использования сертификатов и ключей, которые вы настраиваете. Таким образом, вместо совместного использования единого сертификата и ключа ко всем рабочим станциям разработчика вы получите уникальный сертификат и закрытый ключ для каждого разработчика, подписанного закрытым ключом CA. Единственное, что должно быть общим для всех, - это сертификат CA, который является общедоступным.

Преимущество этого заключается в том, что вы можете отозвать сертификат, как только разработчик уйдет, хотя это сложно с самозаверяющими сертификатами, и он позволяет подотчетность, где вы можете проверить, кто сделал что из журналов.

Настройка Docker TLS.

Стать вашим собственным учебником CA и отзывом сертификата

Ответ 2

Есть внешний инструмент для импорта/экспорта докеров-машин: machine-share.

machine-export <machine-name>
>> exported to <machine-name>.zip
machine-import <machine-name>.zip
>> imported

В стороне, я считаю, что решение Daniel превосходит, но требует значительных инвестиций в инструменты/рабочие процессы. machine-export должно быть достаточным в 95% случаев.