手机网站给一个wordpress插件设置

一、实验目的：

1、熟练掌握docker的安装和使用

2、熟练掌握docker的文件配置

二、实验内容：

需求：

使用centos完成docekr的远程响应

完成

1、docker加速器配置

2、修改默认存储配置

3、docker远程响应

三、实验结果

添加加速器

vi /etc/docker/daemon.json

添加以下内容

{

        "registry-mirrors": [

                                "https://docker.registry.cyou",

                                "https://docker-cf.registry.cyou",

                                "https://dockercf.jsdelivr.fyi",

                                "https://docker.jsdelivr.fyi",

                                "https://dockertest.jsdelivr.fyi",

                                "https://mirror.aliyuncs.com",

                                "https://dockerproxy.com",

                                "https://mirror.baidubce.com",

                                "https://docker.m.daocloud.io",

                                "https://docker.nju.edu.cn",

                                "https://docker.mirrors.sjtug.sjtu.edu.cn",

                                "https://docker.mirrors.ustc.edu.cn",

                                "https://mirror.iscas.ac.cn",

                                "https://docker.rainbond.cc"

        ]

}

重置配置和docker服务

systemctl daemon-reload 更新源

systemctl docker

如果启动有错误可以去日志查看

journalctl -u docker.service -f

修改默认存储位置

安装docker之后，默认的镜像及容器存储路径为/var/lib/docker，可以使用命令docker info查看。

docker info

这是系统默认位置

配置docker远程响应

编辑 /etc/docker/daemon.json

添加hosts参数以启用 TCP 监听，同时保留本地 UNIX 套接字：

重启

systemctl daemon-reload

systemctl restart docker

处理 systemd 冲突

若系统使用systemd（如 Rocky Linux/CentOS），需创建覆盖文件

mkdir -p /etc/systemd/system/docker.service.

vim /etc/systemd/system/docker.service.d/override.conf

[Service]

ExecStart=

ExecStart=/usr/bin/dockerd

重启服务：

systemctl daemon-reload && systemctl restart docker

docker -H tcp://10.1.1.123:2375 info

生成 TLS 证书

mkdir -p /etc/docker/certs && cd /etc/docker/certs

生成CA根证书

# 生成加密的 CA 私钥（4096位，AES-256加密）

openssl genrsa -aes256 -out ca-key.pem  4096   #注意需要输入至少4个字符，不然报错

# 生成 CA 根证书（有效期10年）

openssl req -new -x509 -days 3650 -key ca-key.pem  -sha256 -out ca.pem 

1.2生成服务端证书

# 生成服务端私钥（不加密，便于自动加载）

openssl genrsa -out server-key.pem  4096

# 创建证书签名请求（CSR）

openssl req -subj "/CN=10.1.1.123" -sha256 -new -key server-key.pem  -out server.csr

# 设置扩展属性（仅用于服务端认证）

echo subjectAltName = IP:10.1.1.123 > extfile.cnf

# 签发服务端证书

openssl x509 -req -days 365 -sha256 -in server.csr  -CA ca.pem  -CAkey ca-key.pem  \

-CAcreateserial -out server-cert.pem  -extfile extfile.cnf

1.3 生成客户端证书

# 生成客户端私钥

openssl genrsa -out client-key.pem  4096

# 创建客户端 CSR

openssl req -subj "/CN=client" -new -key client-key.pem  -out client.csr

# 设置扩展属性（客户端认证）

echo extendedKeyUsage = clientAuth > extfile-client.cnf

# 签发客户端证书

openssl x509 -req -days 365 -sha256 -in client.csr  -CA ca.pem  -CAkey ca-key.pem  \

-CAcreateserial -out client-cert.pem  -extfile extfile-client.cnf

1.4 设置证书的权限

chmod 0400 ca-key.pem  server-key.pem  client-key.pem

chmod 0444 ca.pem  server-cert.pem  client-cert.pem

docker服务端配置 TLS 监听

修改 daemon.json ：

{

  "tls": true,

  "tlscacert": "/path/to/ca.pem",

  "tlscert": "/path/to/server-cert.pem",

  "tlskey": "/path/to/server-key.pem",

  "hosts": ["unix:///var/run/docker.sock",  "tcp://0.0.0.0:2376"]   #注意：加密和不加密用的端口不一样

}

3.3、防火墙配置

开放 TCP 端口根据是否加密选择）：若防火墙未开，省掉该步

# 非加密端口（仅限内网）

firewall-cmd --permanent --add-port=2375/tcp

# 加密端口（推荐公网）

firewall-cmd --permanent --add-port=2376/tcp

firewall-cmd –reload

重启 Docker 服务

systemctl restart docker

journalctl -u docker.service  -f

发现前面的文件写错了（前面图片是已经更正完的）

远程客户端测试连接

传输证书到客户端

将 ca.pem 、client-cert.pem 、client-key.pem 复制到客户端 ~/.docker/ 目录。

scp ca.pem client-cert.pem client-key.pem root@10.1.1.123:~/.docker/

docker -H tcp://10.1.1.123:2376 --tlsverify ps

然后这里出现了错误

从日志中可以看到，Docker 服务已经成功启动，并且监听在 /var/run/docker.sock 和 [::]:2376 端口。然而，客户端尝试连接时有错误，这表明客户端在尝试通过 TLS 连接到 Docker 守护进程时，未能提供有效的客户端证书。

docker -H tcp://10.1.1.123:2376 --tlsverify --tlscacert=ca.pem  --tlscert=client-cert.pem  --tlskey=client-key.pem  info