Docker 连接IDEA一键部署项目 (CA认证)

Docker 连接IDEA一键部署项目 (CA认证)

Scroll Down

一、配置CA认证的 IDEA连接Docker

一定要注意 ! 一定要设置CA认证 不然很有可能被挖矿病毒劫持!!!!!!

参考 https://blog.csdn.net/ChineseYoung/article/details/83107353

1. 步骤

# 1、创建ca文件夹,存放CA私钥和公钥
[root@localhost ~]# mkdir -p /usr/local/ca
[root@localhost ~]# cd /usr/local/ca/

# 2、创建密码
# 需要连续输入两次相同的密码
[root@iZbp1a2fzgjfld2n1jspv0Z ca]# openssl genrsa -aes256 -out ca-key.pem 4096

Generating RSA private key, 4096 bit long modulus
..................................................................................................................................................................++
..........................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

# 3、依次输入密码、国家、省、市、组织名称等
# 国家、省、市、组织名称 必须是两个字符 比如 : cn
[root@iZbp1a2fzgjfld2n1jspv0Z ca]# openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:hn
Locality Name (eg, city) [Default City]:zz
Organization Name (eg, company) [Default Company Ltd]:zu
Organizational Unit Name (eg, section) []:zaa
Common Name (eg, your name or your server's hostname) []:qdsf
Email Address []:wa@qq.com
[root@iZbp1a2fzgjfld2n1jspv0Z ca]# 


# 4、生成server-key.pem

[root@iZbp1a2fzgjfld2n1jspv0Z ca]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
........................................................................................................................................................................++
..................++
e is 65537 (0x10001)


# 5、把下面的$Host换成你自己服务器外网的IP或者域名
# openssl req -subj "/CN=192.168.1.106" -sha256 -new -key server-key.pem -out server.csr
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
比如
openssl req -subj "/CN=47.99.193.117" -sha256 -new -key server-key.pem -out server.csr
或
openssl req -subj "/CN=www.baidu.com" -sha256 -new -key server-key.pem -out server.csr


# 6、配置白名单
# 也就是你接下来要允许那些ip可以连接到服务器的docker,因为已经是ssl连接,所以我推荐配置0.0.0.0,也就
#是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用。如果你不想这
# 样,那你可以配置ip,用逗号分隔开。下面的$Host依旧是你服务器外网的IP或者域名,请自行替换。

注意!!!!这里我踩了坑
如果你填写的是ip地址的话命令如下 echo subjectAltName = IP:$HOST,IP:0.0.0.0 >> extfile.cnf
如果你填写的是域名的话命令如下 echo subjectAltName = DNS:$HOST,IP:0.0.0.0 >> extfile.cnf

echo subjectAltName = IP:47.99.193.117,IP:0.0.0.0 >> extfile.cnf


# 7、执行命令,将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

[root@iZbp1a2fzgjfld2n1jspv0Z ca]# echo extendedKeyUsage = serverAuth >> extfile.cnf

# 8、执行命令,并输入之前设置的密码,生成签名证书

[root@iZbp1a2fzgjfld2n1jspv0Z ca]# openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=47.99.193.117
Getting CA Private Key
Enter pass phrase for ca-key.pem:


# 9、生成客户端的key.pem,到时候把生成好的几个公钥私钥拷出去即可

[root@iZbp1a2fzgjfld2n1jspv0Z ca]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.......................................................................................++
.......++
e is 65537 (0x10001)

# 10、执行命令

[root@iZbp1a2fzgjfld2n1jspv0Z ca]# openssl req -subj '/CN=client' -new -key key.pem -out client.csr

# 11、执行命令,要使密钥适合客户端身份验证,请创建扩展配置文件

echo extendedKeyUsage = clientAuth >> extfile.cnf

# 12、生成cert.pem,需要输入前面设置的密码,生成签名证书

[root@iZbp1a2fzgjfld2n1jspv0Z ca]# openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:


# 13、删除不需要的文件,两个证书签名请求

[root@iZbp1a2fzgjfld2n1jspv0Z ca]# rm -v client.csr server.csr
rm: remove regular file ‘client.csr’? y
removed ‘client.csr’
rm: remove regular file ‘server.csr’? y
removed ‘server.csr’


# 14、修改权限,要保护您的密钥免受意外损坏,请删除其写入权限。要使它们只能被您读取,更改文件模式

[root@iZbp1a2fzgjfld2n1jspv0Z ca]# chmod -v 0400 ca-key.pem key.pem server-key.pem
mode of ‘ca-key.pem’ changed from 0644 (rw-r--r--) to 0400 (r--------)
mode of ‘key.pem’ changed from 0644 (rw-r--r--) to 0400 (r--------)
mode of ‘server-key.pem’ changed from 0644 (rw-r--r--) to 0400 (r--------)

# 证书可以是对外可读的,删除写入权限以防止意外损坏

chmod -v 0444 ca.pem server-cert.pem cert.pem

[root@iZbp1a2fzgjfld2n1jspv0Z ca]# chmod -v 0444 ca.pem server-cert.pem cert.pem
mode of ‘ca.pem’ changed from 0644 (rw-r--r--) to 0444 (r--r--r--)
mode of ‘server-cert.pem’ changed from 0644 (rw-r--r--) to 0444 (r--r--r--)
mode of ‘cert.pem’ changed from 0644 (rw-r--r--) to 0444 (r--r--r--)


# 15、归集服务器证书
[root@iZbp1a2fzgjfld2n1jspv0Z ca]# cp server-*.pem  /etc/docker/
[root@iZbp1a2fzgjfld2n1jspv0Z ca]#  cp ca.pem /etc/docker/

# 16、修改Docker配置,使Docker守护程序仅接受来自提供CA信任的证书的客户端的连接

vim /lib/systemd/system/docker.service

将
ExecStart=/usr/bin/dockerd
替换为 
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

# 17、重新加载daemon并重启docker

[root@iZbp1a2fzgjfld2n1jspv0Z ca]#  systemctl daemon-reload 
[root@iZbp1a2fzgjfld2n1jspv0Z ca]# systemctl restart docker

# 18、开放2376端口
/sbin/iptables -I INPUT -p tcp --dport 2376 -j ACCEPT

[root@iZbp1a2fzgjfld2n1jspv0Z ca]# /sbin/iptables -I INPUT -p tcp --dport 2376 -j ACCEPT
[root@iZbp1a2fzgjfld2n1jspv0Z ca]# iptables-save
# 19、重启docker
service docker restart

# 20、保存相关客户端的pem文件到本地

image-20210519184457336

1.2 IDEA 连接

image-20210519184706497

如果可以看到这个界面 说明连接成功!

二、使用Dockerfile 自动化部署

2.1 新建Dockerfile

FROM java:8
VOLUME /tmp
# 添加target目录下打包的jar包 复制为 app。jar
ADD ./target/*.jar app.jar
# 开发 8081 端口 这个端口和项目端口一致
EXPOSE 8081
ENTRYPOINT ["java","-Djava.security.egd=file:/dev/./urandom","-jar","/app.jar"]

这里需要注意 Dockerfile 的 和 生成的jar包的位置

ADD ./target/*.jar app.jar
image-20210518101524493

2.2 运行dockerfile

新建运行配置

image-20210518101740575

我的配置参考如下 ,由于我用的IDEA是最新版的(IDEA2021.1)可能,和老版本的不太一样,注意

Modify option 这个可以添加配置

image-20210518102055475

# 1. Dockerfile : 你的Dockerfile 的文件的位置, 点击右侧的文件夹图标可以修改
# 2. Image Tag : 生成镜像的名字 这个可以自己随意设置
# 3. Container Name : 生成容器名字 (运行时会创建镜像后生成一个容器)
# 4. Bind ports : 映射端口 , 8085 是我服务器的端口, 8081 是容器的端口!(与项目端口一致)
# 由于我服务器8081已经被占用, 所以只能用8085

特别注意 :运行之前 一定要 把Docker 的链接关了 ,否则会报 连接失败!切记 原因我猜测可能是因为

一次只能连一个 ?

image-20210518102644899

点击绿色的箭头也可以部署 注意Docker连接是需要关闭的!

image-20210518103115905

部署成功以后是下面这样的

image-20210518103026957

部署时需要上传文件(我的是阿里云服务器) 可能会比较慢 需要等待, 如果是虚拟机的话就比较快,如果担心弄不好,可以先在虚拟机上尝试

三、部署Vue项目

我的项目是前后端分离的 所以顺便也把部署前端项目也写了

1.1 创建Dockerfile

如果连接Docker 和上面的一致, 我这里就不写了

FROM nginx
# 定义作者
MAINTAINER Knightzz
# 将dist文件中的内容复制到 /usr/share/nginx/html/ 这个目录下面
COPY dist/  /usr/share/nginx/html/
COPY nginx.conf /etc/nginx/conf.d/default.conf

image-20210518103944872

2. 创建nginx配置文件

server {
listen       80;
server_name  localhost;

#charset koi8-r;
access_log  /var/log/nginx/host.access.log  main;
error_log  /var/log/nginx/error.log  error;

location / {
    root   /usr/share/nginx/html/;
    index  index.html index.htm;
}

#error_page  404              /404.html;

# redirect server error pages to the static page /50x.html
#
error_page   500 502 503 504  /50x.html;
location = /50x.html {
    root   /usr/share/nginx/html;
}
}

image-20210518123012746