1:docker資源分配 Cgroup [CPU 記憶體 I/O(單位時間內的吞吐量 單位時間內的讀寫速度)]
為什么要做資源分配 ?
容器----虛擬機 區別
虛擬機在創建的時候已經做了資源分配,(虛擬CPU,虛擬記憶體,虛擬磁盤等)
容器是共享內核資源的,不做Cgroup會存在重大安全隱患(面試時,參照:往年的監控資料情況,進行資源分配)
資源分配
Cgroup資源配置方法
docker通過Cgroup來控制容器是使用的資源配額,包括CPU、記憶體、磁盤三大方面,基本覆寫了常見的資源配額和使用量控制
Control Group的縮寫,是Linux內核提供的一種可以限制、記錄、隔離行程組所使用的物理資源(如CPU、記憶體、磁盤IO等)的機制,被LXC、docker等很多專案用于實作行程資源控制,Cgroup子系統,有以下幾大子系統實作:
子系統:
blkio:設定西限制每個塊設備的輸入輸出控制,例如:磁盤、光碟以及USB等,
CPU:使用調度程式為cgroup任務提供CPU的訪問,
cpuacct:產生cgroup任務的CPU資源報告,
cpuset:如果是多核心的CPU,這個子系統會為cgroup任務分配單獨的CPU和記憶體,
devices:允許或拒絕cgroup任務對設備的訪問,
freezer:暫停和恢復cgroup任務,
memory:設定每個cgroup的記憶體限制以及產生記憶體資源報告,
net_cls:標記每個網路包以提供cgroup方便使用,
ns:命名子空間系統
perf_event:增加了對每個group的監測跟蹤的能力,可以監測驗于某個特定的group的所有執行緒以及運行在特定CPU上的執行緒,
利用stress壓力測驗工具來測驗CPU和記憶體使用狀況
清空防火墻規則、關閉核心防護
[root@localhost ~]# systemctl restart docker
[root@localhost ~]# iptables -F
[root@localhost ~]# setenforce 0
使用Dockerfile來創建一個基于Centos的stress工具鏡像
[root@localhost ~]# mkdir /opt/stress
[root@localhost ~]# vim /opt/stress/Dockerfile
FROM centos:7
MAINTAINER
RUN yum install -y wget
RUN wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
RUN yum install -y stress
[root@client ~]# cd /opt/stress
[root@client stress]# docker build -t centos:stress .
[root@client stress]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
centos stress 5a77e23ca0d6 12 seconds ago 426MB
···
使用如下命令創建容器,命令中的--cpu-shares引數值不能保證可以獲得1個vcpu或者多個GHz的CPU資源,他僅是一個彈性的加權值,
docker run -itd --cpu-shares 100 centos:stress
說明:默認情況下,每個Docker容器的CPU份額都是1024,單獨一個容器的份額是沒有意義的,只有在同時運行多個容器時,容器的CPU加權的效果才能體現,
Cgroup只在容器分配的資源緊缺時,即在需要使用資源進行限制時,才會生效,因此無法單純根據某個容器的CPU份額來確定有多少CPU資源,CPU資源分配,結果取決于同時運行的其他容器的CPU分配和容器中行程運行情況,
可以通過cpu share 設定容器使用CPU的優先級,比如啟動了兩個容器及運行查看CPU使用百分比,
[root@client stress]# docker run -itd --cpu-shares 100 centos:stress//容器產生10個子函式行程
df937d7ab7728a1306833a19444c5d7a7ed1e108859300bc8319f8fd2597b238
[root@client stress]# docker run -itd --name cpu512 --cpu-shares 512 centos:stress stress -c 10
6fa79759df08eba01fc1d23b59c7801409df198e0bff4fa9a84f550734e2b3e8
[root@client stress]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
6fa79759df08 centos:stress "stress -c 10" 2 seconds ago Up 1 second cpu512
[root@client stress]# docker exec -it 6fa79759df08 bash //進入容器使用top命令查看CPU使用情況
[root@6fa79759df08 /]# top
![[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-Q95ja6wl-1601193134575)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1600932465759.png)]](https://img.uj5u.com/2020/09/29/106006290114121.png)
//再開啟一個容器做比較[root@client ~]# docker run -itd --name cpu1024 --cpu-shares 1024 centos:stress stress -c 10
1b23b00909e82576293d325937e28f4386ffa24fa39127ff41d54508470d6766
[root@client ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
1b23b00909e8 centos:stress "stress -c 10" 2 seconds ago Up 1 second cpu1024
6fa79759df08 centos:stress "stress -c 10" 2 minutes ago Up 2 minutes cpu512
[root@client ~]# docker exec -it 1b23b00909e8 bash
![[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-espCSapF-1601193134577)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1600932538208.png)]](https://img.uj5u.com/2020/09/29/106006290114122.png)
//進入容器使用top命令對比兩個容器的%CPU比例是1:2
CPU周期限制
Docker提供了 --cpu-period --cpu-quota 兩個引數控制容器可以分配的CPU時鐘周期,
–cpu-period是用來指定容器對CPU的使用要在多長時間內做一次重新分配
–cpu-quota是用來指定在這個周期內,最多可以有多長時間來跑這個容器,(與–cpu-period不同的是,這種配置時指定一個絕對值,容器多CPU資源的使用絕對不會超過配置的值)
cpu-perlod和cpu-quota的單位為微秒(us) . epu-perlod 的最小值為1000微秒,最大值為1秒(10^6μs) ,默認值為0.1秒(100000 μ5)
cpu-quota的值默認為-1,表示不做控制,cpu-period 和cpu-quota引數一般聯合使用,
例如:容器行程需要每1移使用單個CPU的0.2秒時間,可以將cqpu-period設定為100000 (即1秒),cpu-quota設定為20000 (0.2秒) ,
當然,在多核情況下,如果允許容器行程完全占用兩個CPU,則可以將cpu-period設定為100000 (即0.1秒),cpu-quota設定為200000 (0.2
[root@client stress]# docker run -tid --cpu-period 100000 --cpu-quota 200000 centos:stress
5fa301ae0a422ba23fa0cdeeb88760f1b53376479b344fff8549a405e2aadb30
[root@client stress]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
5fa301ae0a42 centos:stress "/bin/bash" 2 seconds ago Up Less than a second objective_spence
[root@client stress]# docker exec -it 5fa301ae0a42 bash
[root@5fa301ae0a42 /]# cat /sys/fs/cgroup/cpu/cpu.cfs_period_us
100000
[root@5fa301ae0a42 /]# cat /sys/fs/cgroup/cpu/cpu.cfs_quota_us
200000
CPU Core控制
對于多核CPU的服務器,docker還可以控制容器運行使用哪些CPU內核,即使用–cpu-cpus引數
這對具有多CPU的服務器尤其有用,可以對需要高性能計算的容器進行性能最優的配置
執行以下命令需要宿主機為雙核,表示創建的容器只能用0、1兩個內核(CPU0、CPU1),最終生成的cgroup的CPU內核配置如下:[root@localhost stress]# docker run -tid --name cpu1 --cpuset-cpus 0-1 centos:stress
1694023f3400f7366137d2bde7b13b20a457f1a68cb14301be034e3b99fd9da0
[root@localhost stress]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
1694023f3400 centos:stress "/bin/bash" 25 seconds ago Up 24 seconds cpu1
[root@localhost stress]# docker exec -it 1694023f3400 bash
[root@1694023f3400 /]# cat /sys/fs/cgroup/cpuset/cpuset.cpus
0-1
[root@localhost stress]# docker exec 1694023f3400 taskset -c -p 1
pid 1's current affinity list: 0,1
通過下面指令可以看到容器中行程與CPU內核的系結關系,達到系結CPU內核的目的
docker exec 1694023f3400 taskset -c -p 1 //容器內部第一個行程號皮帶為1被系結到制定CPU上運行
CPU配額控制引數的混合使用
通過cpuset-cpus引數指定容器A使用CPU內核0,容器B只是用CPU內核1.
在主機上只有這兩個容器使用對應CPU內核的情況,它們各自占用全部的內核資源,cpu-shares 沒有明顯效果,
cpuset-cpus、cpuset-mems 引數只在多核、多記憶體節點上的服務器上有效,并且必須與實際的物理配置匹配,否則也無法達到資源控制的目的,
在系統具有多個CPU內核的情況下,需要通過cpuset-cpus引數為設定容器CPU內核才能方便地進行測驗,
![[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-jshaj0ZU-1601193134579)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1601102669497.png)]](https://img.uj5u.com/2020/09/29/106006290114123.png)
//宿主系統修改為4核心cpu[root@localhost stress]# docker run -tid --name cpu3 --cpuset-cpus 1 --cpu-shares 512 centos:stress stress -c 1
3b139ebde227f86825ca9031702c1356ac18214e896be03966139500a18f5e74
[root@localhost stress]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
3b139ebde227 centos:stress "stress -c 1" 36 seconds ago Up 34 seconds cpu3
[root@localhost stress]# docker exec -it 3b139ebde227 bash
[root@3b139ebde227 /]# exit
exit
[root@localhost stress]# top //按1查看每個核心的占用
top - 14:49:06 up 1:53, 4 users, load average: 0.97, 0.51, 0.24
Tasks: 244 total, 2 running, 242 sleeping, 0 stopped, 0 zombie%Cpu0 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu1 :100.0 us, 0.0 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu2 : 0.0 us, 0.3 sy, 0.0 ni, 99.7 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu3 : 0.0 us, 0.3 sy, 0.0 ni, 99.7 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 stKiB Mem : 3861512 total, 571580 free, 935092 used, 2354840 buff/cache
KiB Swap: 4063228 total, 4063228 free, 0 used. 2466740 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
82110 root 20 0 7312 100 0 R 100.0 0.0 3:28.55 stress
![[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-7qs8o4us-1601193134581)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1601102909730.png)]](https://img.uj5u.com/2020/09/29/106006290114124.png)
[root@localhost stress]# docker run -tid --name cpu4 --cpuset-cpus 3 --cpu-shares 1024 centos:stress stress -c 1
04cce252457166347af6cb6d9110e6afe531116e783536885e306400fdf7c575
[root@localhost stress]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
04cce2524571 centos:stress "stress -c 1" 36 seconds ago Up 35 seconds cpu4
[root@localhost stress]# docker exec -it 04cce2524571 bash
[root@localhost stress]# docker exec -it 04cce2524571 bash
[root@04cce2524571 /]# exit
exit
top - 14:58:16 up 2:02, 4 users, load average: 2.00, 1.61, 0.89
Tasks: 246 total, 3 running, 243 sleeping, 0 stopped, 0 zombie
%Cpu0 : 0.0 us, 0.3 sy, 0.0 ni, 99.7 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu1 :100.0 us, 0.0 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu2 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu3 :100.0 us, 0.0 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 3861512 total, 560632 free, 944092 used, 2356788 buff/cache
KiB Swap: 4063228 total, 4063228 free, 0 used. 2456172 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
83053 root 20 0 7312 100 0 R 100.0 0.0 5:48.98 stress
82110 root 20 0 7312 100 0 R 99.7 0.0 12:38.53 stress
?
![[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-pkPyUdl1-1601193134583)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1601103494949.png)]](https://img.uj5u.com/2020/09/29/106006290114125.png)
總結:上面的centos:stress鏡像安裝了stress工具,用來測驗CPU和記憶體的負載,通過在容器上分別執行stress -c 1命令,將會給系統一個隨機負載,產生一個行程,這個行程反復不停的計算由rand()產生亂數的平方根,直到資源耗盡,
觀察到宿主機上的CPU使用率,第三個內核的使用率接近100%,并且一批行程的 PU使用率明顯存在2:1的使用比例的對比,
記憶體限額
與作業系統類似,容器可使用的記憶體包括兩部分:物理記憶體和Swap.
Docker通過下面兩組引數來控制容器記憶體的使用量,
-m或-memory:設定記憶體的使用限額,例如100M、1024M,
–memory-swap:設定記憶體+ swap的使用限額,
執行如下命令允許該容器最多使用200M的記憶體和300M的swap,
[root@localhost stress]# docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 280M
--vm 1:啟動1個記憶體作業執行緒,
--vm-bytes 280M:每個執行緒分配280M記憶體,
默認情況下,容器可以使用主機上的所有空閑記憶體,
與CPU的cgroups配置類似,Docker 會自動為容器在目錄/sys/fs/cgroup/memory/docker/<容器的完整長ID>中創建相應cgroup組態檔
如果讓作業執行緒分配的記憶體超過300M,分配的記憶體超過限額,stress 執行緒報錯,容器退出,
[root@localhost ~]# docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 310M
stress: info: [1] dispatching hogs: 0 cpu, 0 io, 1 vm, 0 hdd
stress: dbug: [1] using backoff sleep of 3000us
stress: dbug: [1] --> hogvm worker 1 [6] forked
stress: dbug: [6] allocating 325058560 bytes ...
stress: dbug: [6] touching bytes in strides of 4096 bytes ...
stress: FAIL: [1] (416) <-- worker 6 got signal 9
stress: WARN: [1] (418) now reaping child worker processes
stress: FAIL: [1] (422) kill error: No such process
stress: FAIL: [1] (452) failed run completed in 0s
Block IO的限制
默認情況下,所有容器能平等地讀寫磁盤,可以通過設定–block-weight引數來改變容器block IO的優先級,
–block-weight與–cpu-shares類似,設定的是相對權重值,默認為500,
下面的例子中,容器A讀寫磁盤的帶寬是容器B的兩倍
[root@localhost stress]# docker run -it --name container_A --blkio-weight 600 centos:stress
[root@3b218714f509 /]# cat /sys/fs/cgroup/blkio/blkio.weight
600
[root@localhost stress]# docker run -it --name container_B --blkio-weight 300 centos:stress
[root@a49df7e2fceb /]# cat /sys/fs/cgroup/blkio/blkio.weight
300
bps和iops的限制
bps是byte per second,每秒讀寫的資料量,
iops是io per second,每秒10的次數,
可通過以下引數控制容器的bps和iops:
– device read-bps,限制讀某個設備的bps,
– device-write-bps,限制寫某個設備的bps,
– device- read-iops,限制讀某個設備的iops,
– device-write-iops,限制寫某個設備的iops,
下面的示例是限制容器寫/dev/sda的速率為5 MB/s,
[root@83a409738e11 /]# dd if=/dev/zero of=test bs=1M count=1024 oflag=direct //可以按Ctrl+c中斷查看
^C38+0 records in
38+0 records out
39845888 bytes (40 MB) copied, 7.60984 s, 5.2 MB/s
通過dd命令測驗在容器中寫磁盤的速度,因為容器的檔案系統是在host /dev/sda上的,
在容器中寫檔案相當于對host /dev/sda進行寫操作.另外,oflag=direct指定用direct 10方式寫檔案,
這樣--device-write-bps才能生效,
結果表明限速5MB/s左右,作為對比測驗,如果不限速,結果如下,
[root@localhost ~]# docker run -it centos:stress
[root@61ee9e12f2ed /]# dd if=/dev/zero of=test bs=1M count=1024 oflag=direct
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 0.983062 s, 1.1 GB/s
2:安全通信 TLS 生產環境 (實驗環境用SSL)
Docker-TLS加密通訊
TLS
加密演算法:
原理
1.對稱 DES 3DES AES 長度不同 長度越長安全越高,解密速度越慢
2.非對稱 RSA 公鑰:所有人可知(鎖),私鑰(鑰匙)個人身份資訊,不可抵賴,
3.證書:個人資訊,密鑰,有效期
4.ca:證書頒發機構 ca證書
密鑰key—》身份簽名csr—》(服務器/客戶端)(結合ca.pem)證書pem
證書pem發送給客戶端,客戶端驗證就使用證書驗證
為了防止鏈路劫持、會話劫持等問題導致docker通信時被中間人攻擊,c/s端應該通過加密方式通訊
[root@localhost ~]# mkdir /tls
[root@localhost ~]# cd /tls
[root@localhost tls]# hostnamectl set-hostname master
[root@localhost tls]# vim /etc/hosts
127.0.0.1 master
[root@localhost tls]# su
[root@master tls]# ping master
PING master (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.041 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.048 ms
^C
--- master ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.041/0.044/0.048/0.007 ms
//創建ca密鑰
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096 //輸入123123
Generating RSA private key, 4096 bit long modulus
.....................................++
..........................................................................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
//創建ca證書
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem: //輸入密碼123123
//創建服務器私鑰
[root@master tls]# openssl genrsa -out server-key.pem 4096 Generating RSA private key, 4096 bit long modulus
............................................................................++
..............................................................................................................................................................++
//簽名私鑰
[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
//使用ca證書與私鑰證書簽名,輸入123123
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:
//生成客戶端密鑰
[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.++
...................................++
e is 65537 (0x10001)
//簽名客戶端
[root@master tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
//創建組態檔
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf
//簽名證書,輸入123123,需要(簽名客戶端,ca證書,ca密鑰)
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
//洗掉多余檔案
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr
[root@master tls]# ll
總用量 24
-rw-r--r--. 1 root root 3326 9月 26 16:22 ca-key.pem
-rw-r--r--. 1 root root 1765 9月 26 16:23 ca.pem
-rw-r--r--. 1 root root 1696 9月 26 16:31 cert.pem
-rw-r--r--. 1 root root 3243 9月 26 16:27 key.pem
-rw-r--r--. 1 root root 1647 9月 26 16:23 server-cert.pem
-rw-r--r--. 1 root root 3243 9月 26 16:23 server-key.pem
//配置docker
[root@master tls]# vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.
pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
注釋掉原來的,在下面插入
![[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-nTg0dhy2-1601193134583)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1601109979742.png)]](https://img.uj5u.com/2020/09/29/106006290114126.png)
//重啟行程
[root@master tls]# systemctl daemon-reload
//重啟docker服務
[root@master tls]# systemctl restart docker
//將/tls/ca.pem /tls/cert.pem /tls/key.pem三個檔案復制到另一臺主機
[root@master tls]# scp ca.pem root@192.168.20.20:/etc/docker/
The authenticity of host '192.168.20.20 (192.168.20.20)' can't be established.
ECDSA key fingerprint is SHA256:M+6YSK2hm7e8JY4G1qYmT0X1UmIr280vvpa+1rW8IBc.
ECDSA key fingerprint is MD5:bd:01:e2:85:f0:b0:36:8c:49:64:08:30:6c:2d:a4:37.
Are you sure you want to continue connecting (yes/no)? yes
root@192.168.20.20's password:
ca.pem 100% 1765 633.0KB/s 00:00
[root@master tls]# scp cert.pem root@192.168.20.20:/etc/docker/
root@192.168.20.20's password:
cert.pem 100% 1696 396.7KB/s 00:00
[root@master tls]# scp key.pem root@192.168.20.20:/etc/docker/
root@192.168.20.20's password:
key.pem 100% 3243 1.5MB/s 00:00
//本地驗證
[root@master tls]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
Version: 19.03.13
API version: 1.40
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:03:45 2020
OS/Arch: linux/amd64
Experimental: false
The server probably has client authentication (--tlsverify) enabled. Please check your TLS client certification settings: Get https://master:2376/v1.40/version: remote error: tls: bad certificate
[root@master tls]# docker pull nginx
//client上操作
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# vim /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.20.10 master
[root@client ~]# ll /etc/docker/
總用量 20
-rw-r--r--. 1 root root 1765 9月 26 16:47 ca.pem
-rw-r--r--. 1 root root 1696 9月 26 16:47 cert.pem
-rw-r--r--. 1 root root 67 9月 23 22:31 daemon.json
-rw-------. 1 root root 244 9月 23 22:31 key.json
-rw-r--r--. 1 root root 3243 9月 26 16:48 key.pem
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
Version: 19.03.13
API version: 1.40
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:03:45 2020
OS/Arch: linux/amd64
Experimental: false
key.json
-rw-r--r--. 1 root root 3243 9月 26 16:48 key.pem
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
Version: 19.03.13
API version: 1.40
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:03:45 2020
OS/Arch: linux/amd64
Experimental: false
The server probably has client authentication (--tlsverify) enabled. Please check your TLS client certification settings: Get https://master:2376/v1.40/version: remote error: tls: bad certificate
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/136153.html
標籤:其他