Bonjour à tous,
Liste des billets
Partie 1 : https://goo.gl/LXduJi (Présentation Docker Datacenter et Déploiement)
Partie 2 : https://goo.gl/SSXhd4 (Mise à jour des composants)
Partie 4 : https://goo.gl/3kA1ZB (prise en main / démo)
Dans cette troisième partie nous allons voir comment configurer le stockage de la DTR et comment sécuriser les communications entre les UCP Controllers & Engines nodes et les DTR nodes
Commençons par l’ajout du stockage
Nous allons créer un espace de stockage pour nnotre Docker Trusted Registry (DTR)
Dans la market place on cherche créer u compte de stockage
Ici je suis parti sur du LRS avec des performances « standard » que je rattache à mon ressource groupe rgDockerDatacenter
Mon compte aura le nom axiansddcstokage
Le deployment est terminée
Je peux maintenant récupérer les clefs d’accès
Qu’il (key1) me suffit d’ajouter sur le portail DTR
Dans Settings > Storage en choisissant bien Azure puis enregistrer ma configuration
La registry est prête je peux créer des repositories 🙂
Public ou Privée
Passons maintenant à la sécurisation des communications entre les UCP Controllers nodes et les DTR nodes
Documentation officielle : https://docs.docker.com/ucp/configuration/dtr-integration/
Nous allons commencer par récupérer le certificat de l’autorité de certificats présente sur la DTR en se connectant au portail de la DTR
Note : le certificat de la CA pour la partie UCP Controller a été récupéré précédent voir « partie 2 » (fichier ucp-ca.pem)
Dans la partie Settings > TLS CA il suffit de copier le contenu de la zone de texte et de le coller dans un fichier « dtr-ca.pem » sur le poste local
En gardant bien les balises —–BEGIN CERTIFICATE—– & —–END CERTIFICATE—–
Nous allons ensuite injecter le .pem du côté UCP Controllers en connectant au portail UCP Controller
Dans Settings > DTR
On saisit le nom de la DTR et on upload le « dtr-ca.pem » pour finir on update le conf
Nous allons maintenant mettre à jour le portail DTR avec le certificat de l’autorité de certificat de la partie UCP Controller
Dans Settings > Auth Bypass TLS Root CA on colle le contenu du « ucp-ca.pem » puis on sauvegarde les modifications
Il nous faut maintenant pousser le certificat de la CA de la DTR sur tous les Docker Engine de la solution (UCP Controllers / UCP engines)
Ici pour l’UCP Controller node0
sudo mkdir /etc/docker/certs.d/
sudo mkdir /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/
sudo vi /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/ca.crt
On colle le contenu du fichier dtr-ca.pem
service docker restart
Pareil pour les autres nodes
UCP Controller node1
ssh ucpadmin@axiansucp.ukwest.cloudapp.azure.com -p 2201
sudo mkdir /etc/docker/certs.d/
sudo mkdir /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/
sudo vi /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/ca.crt
On colle le contenu du fichier dtr-ca.pem
service docker restart
UCP Controller node2
ssh ucpadmin@axiansucp.ukwest.cloudapp.azure.com -p 2202
sudo mkdir /etc/docker/certs.d/
sudo mkdir /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/
sudo vi /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/ca.crt
On colle le contenu du fichier dtr-ca.pem
service docker restart
UCP Engine node0
ssh ucpadmin@axiansdockerengine.ukwest.cloudapp.azure.com -p 2200
sudo mkdir /etc/docker/certs.d/
sudo mkdir /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/
sudo vi /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/ca.crt
On colle le contenu du fichier dtr-ca.pem
service docker restart
UCP Engine node1
ssh ucpadmin@axiansdockerengine.ukwest.cloudapp.azure.com -p 2201
sudo mkdir /etc/docker/certs.d/
sudo mkdir /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/
sudo vi /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/ca.crt
On colle le contenu du fichier dtr-ca.pem
service docker restart
Tout est maintenant prêt et sécurisé
Nous verrons dans la prochaine partie comment cela se passe du côté client (et nous validerons au passage le bon fonctionnement de la DTR sécurisée)
Pour toutes questions n’hésitez pas.
Bonne lecture.
Anthony Costeseque
Travailler ensemble 