समस्या का वर्णन

डॉकर के रिमोट कंट्रोल की जरूरतों के लिए, डॉकर एक वेब एपीआई प्रदान कर सकता है।
इस API को प्रमाणीकरण की आवश्यकता नहीं है (जो अत्यधिक हतोत्साहित है), या प्रमाणपत्र प्रमाणीकरण का उपयोग करें।

समस्या यह है कि मूल प्रमाणपत्र प्रमाणीकरण प्रमाणपत्र निरस्तीकरण जाँच के लिए प्रदान नहीं करता है। और इसके गंभीर परिणाम हो सकते हैं।

मैं बताना चाहता हूं कि मैंने इस समस्या को कैसे हल किया।

समस्या हल करना

सबसे पहले, मैं कहता हूं कि मैं विंडोज के लिए डॉकर के बारे में क्या बात करूंगा। लिनक्स शायद यह सब बुरा नहीं है, लेकिन अब इसके बारे में नहीं।

हमारे पास क्या है? हमारे पास इस तरह के कॉन्‍फ़िगर के साथ एक डॉकर है:

{ "hosts": ["tcp://0.0.0.0:2376", "npipe://"], "tlsverify": true, "tlscacert": "C:\\ssl\\ca.cer", "tlscert": "C:\\ssl\\server.cer", "tlskey": "C:\\ssl\\server.key" } 

ग्राहक अपने प्रमाणपत्रों से जुड़ सकते हैं, लेकिन इन प्रमाणपत्रों को निरस्त करने के लिए जाँच नहीं की जाती है।

समस्या को हल करने का विचार अपनी खुद की प्रॉक्सी सेवा लिखना है, जो एक मध्यस्थ के रूप में काम करेगा। हमारी सेवा डॉकर के रूप में एक ही सर्वर पर स्थापित की जाएगी, यह पोर्ट 2376 को ले जाएगा, डॉक के माध्यम से //./ipe/docker_engine के साथ संवाद करेगा।

दो बार सोचने के बिना, मैंने एक ASP.NET कोर प्रोजेक्ट बनाया और सबसे सरल समीपता बनाई:

 app.Run(async (context) => { var certificate = context.Connection.ClientCertificate; if (certificate != null) { logger.LogInformation($"Certificate subject: {certificate.Subject}, serial: {certificate.SerialNumber}"); } var handler = new ManagedHandler(async (host, port, cancellationToken) => { var stream = new NamedPipeClientStream(".", "docker_engine", PipeDirection.InOut, PipeOptions.Asynchronous); var dockerStream = new DockerPipeStream(stream); await stream.ConnectAsync(NamedPipeConnectTimeout.Milliseconds, cancellationToken); return dockerStream; }); using (var client = new HttpClient(handler, true)) { var method = new HttpMethod(context.Request.Method); var builder = new UriBuilder("http://dockerengine") { Path = context.Request.Path, Query = context.Request.QueryString.ToUriComponent() }; using (var request = new HttpRequestMessage(method, builder.Uri)) { request.Version = new Version(1, 11); request.Headers.Add("User-Agent", "proxy"); if (method != HttpMethod.Get) { request.Content = new StreamContent(context.Request.Body); request.Content.Headers.ContentType = new MediaTypeHeaderValue(context.Request.ContentType); } using (var response = await client.SendAsync(request, HttpCompletionOption.ResponseHeadersRead, context.RequestAborted)) { context.Response.ContentType = response.Content.Headers.ContentType.ToString(); var output = await response.Content.ReadAsStreamAsync(); await output.CopyToAsync(context.Response.Body, 4096, context.RequestAborted); } } } }); 

यह डॉकर एपीआई से सरल GET और POST अनुरोधों के लिए पर्याप्त था। लेकिन यह पर्याप्त नहीं है, क्योंकि अधिक जटिल परिचालनों के लिए (उपयोगकर्ता इनपुट की आवश्यकता होती है), डॉकर WebSocket के समान कुछ का उपयोग करता है। घात यह था कि केस्टरेल ने डॉकर क्लाइंट से आए अनुरोधों को स्वीकार करने से इनकार कर दिया था, इस तथ्य का हवाला देते हुए कि कनेक्शन के साथ अनुरोध में कोई निकाय नहीं हो सकता है: अपग्रेड हेडर। लेकिन यह था।

मुझे केस्टेल को त्यागना पड़ा और थोड़ा और कोड लिखना पड़ा। वास्तव में - आपका अपना वेब सर्वर। स्वतंत्र रूप से एक पोर्ट खोलें, एक टीएलएस कनेक्शन बनाएं, HTTP हेडर को पार्स करें, डॉकर और एक्सचेंज इनपुट / आउटपुट स्ट्रीम के साथ एक आंतरिक कनेक्शन स्थापित करें। और इसने काम किया।

सूत्र यहां मिल सकते हैं ।

तो, आवेदन लिखा है और इसे किसी भी तरह चलाने के लिए आवश्यक होगा। हमारे आवेदन के साथ एक कंटेनर बनाने का विचार है, npine फेंकें: // अंदर और पोर्ट 2376 प्रकाशित करें

एक डॉकर छवि बनाएँ

छवि बनाने के लिए, हमें प्रमाणन प्राधिकरण (ca.cer) का सार्वजनिक प्रमाणपत्र चाहिए, जो उपयोगकर्ताओं को प्रमाणपत्र जारी करेगा।

यह प्रमाण पत्र कंटेनर के विश्वसनीय रूट प्रमाणपत्र अधिकारियों में स्थापित किया जाएगा जिसमें हमारा प्रॉक्सी लॉन्च किया जाएगा।

इसे स्थापित करना प्रमाणपत्र सत्यापन प्रक्रिया के लिए आवश्यक है।

मैंने ऐसी डॉकर फ़ाइल लिखने से परेशान नहीं किया कि मैं स्वयं एप्लिकेशन का निर्माण करूं।
इसलिए, इसे स्वतंत्र रूप से इकट्ठा किया जाना चाहिए। Dockerfile वाले फ़ोल्डर से, चलाएँ:

 dotnet publish -c Release -o ..\publish .\DockerTLS\DockerTLS.csproj 

अब हमारे पास होना चाहिए: Dockerfile , publish , ca.cer । हम छवि एकत्र करते हैं:

 docker build -t vitaliyorg.azurecr.io/docker/proxy:1809 . docker push vitaliyorg.azurecr.io/docker/proxy:1809 

बेशक, छवि का नाम कोई भी हो सकता है।

लांच

कंटेनर को शुरू करने के लिए, हमें सर्वर certificate.pfx की आवश्यकता है। certificate.pfx और पासवर्ड के साथ एक फाइल। password.txt । सभी फ़ाइल सामग्री को एक पासवर्ड माना जाता है। इसलिए, अतिरिक्त पंक्ति फ़ीड नहीं होनी चाहिए।

यह सारा सामान फ़ोल्डर में हो: c:\data उस सर्वर पर जहां डॉकर इंस्टॉल है।

उसी सर्वर पर, चलाएं:

 docker run --name docker-proxy -d -v "c:/data:c:/data" -v \\.\pipe\docker_engine:\\.\pipe\docker_engine --restart always -p 2376:2376 vitaliyorg.azurecr.io/docker/proxy:1809 

लॉगिंग

docker logs साथ docker logs आप देख सकते हैं कि किसने क्या किया। आप कनेक्शन के प्रयास भी देख सकते हैं जो विफल रहे।