问题描述
我正在努力遵循 docker-bench-security 的准则。我正在努力遵守此规则:Ensure the Docker socket is not mounted inside any containers。
我已经读到 jwilder-nginx-proxy 如果可以通过 HTTPS 访问它,则不需要安装 docker 套接字。
我认为我的 docker 安装工作正常,我可以从我的主机与 docker API 通信:
curl https://127.0.0.1:2376/version --cert /home/ubuntu/.docker/cert.pem --key /home/ubuntu/.docker/key.pem --cacert /home/ubuntu/.docker/ca.pem
{"Platform":{"Name":"Docker Engine - Community"},"Components":...}
但我无法从 Nginx jwilder 访问它:
******@******:~/docker/proxy$ docker exec -ti Nginx bash
root@c4740dcc00d9:/app# curl https://127.0.0.1:2376/version --cert /home/ubuntu/.docker/cert.pem --key /home/ubuntu/.docker/key.pem --cacert /home/ubuntu/.docker/ca.pem
curl: (7) Failed to connect to 127.0.0.1 port 2376: Connection refused
root@c4740dcc00d9:/app# curl https://172.17.0.1:2376/version --cert /home/ubuntu/.docker/cert.pem --key /home/ubuntu/.docker/key.pem --cacert /home/ubuntu/.docker/ca.pem -m 5
curl: (28) Connection timed out after 5000 milliseconds
这是我的docker-compose.yml:
Nginx:
container_name: Nginx
image: jwilder/Nginx-proxy
ports:
- 80:80
- 443:443
environment:
DOCKER_HOST: tcp://127.0.0.1:2376
DOCKER_TLS_VERIFY:
DOCKER_CERT_PATH:
volumes:
- ./certs:${DOCKER_CERT_PATH}
还有 daemon.json 文件:
{
"icc": false,"userns-remap": "default","log-driver": "local","live-restore": true,"tls": true,"tlsverify": true,"tlscacert": "/etc/docker/ssl/ca.pem","tlscert": "/etc/docker/ssl/daemon-cert.pem","tlskey": "/etc/docker/ssl/daemon-key.pem","hosts": ["unix:///var/run/docker.sock","tcp://127.0.0.1:2376"],"default-ulimit": "nofile=50:100","userland-proxy": false
}
我不知道如何通过 jwilder 访问 docker API。 docker-compose 文件上有什么要添加的吗?还是在 docker 配置中?我应该使用哪个地址从容器到达它?
预先感谢为我指明正确的方向!
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)