Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Docker Datacenter sur Azure partie 3

Posted by Anthony Costeseque sur octobre 12, 2016


Bonjour à tous,

Liste des billets

Partie 1 : https://goo.gl/LXduJi (Présentation Docker Datacenter et Déploiement)

Partie 2 : https://goo.gl/SSXhd4 (Mise à jour des composants)

Partie 4 : https://goo.gl/3kA1ZB (prise en main / démo)

Dans cette troisième partie nous allons voir comment configurer le stockage de la DTR et comment sécuriser les communications entre les UCP Controllers & Engines nodes et les DTR nodes

Commençons par l’ajout du stockage

Nous allons créer un espace de stockage pour nnotre Docker Trusted Registry (DTR)


Dans la market place on cherche créer u compte de stockage

Ici je suis parti sur du LRS avec des performances « standard » que je rattache à mon ressource groupe rgDockerDatacenter

Mon compte aura le nom axiansddcstokage


Le deployment est terminée


Je peux maintenant récupérer les clefs d’accès


Qu’il (key1) me suffit d’ajouter sur le portail DTR


Dans Settings > Storage en choisissant bien Azure puis enregistrer ma configuration


La registry est prête je peux créer des repositories :)


Public ou Privée


 
 

Passons maintenant à la sécurisation des communications entre les UCP Controllers nodes et les DTR nodes

Documentation officielle : https://docs.docker.com/ucp/configuration/dtr-integration/

Nous allons commencer par récupérer le certificat de l’autorité de certificats présente sur la DTR en se connectant au portail de la DTR

Note : le certificat de la CA pour la partie UCP Controller a été récupéré précédent voir « partie 2 » (fichier ucp-ca.pem)


Dans la partie Settings > TLS CA il suffit de copier le contenu de la zone de texte et de le coller dans un fichier « dtr-ca.pem » sur le poste local

En gardant bien les balises —–BEGIN CERTIFICATE—– & —–END CERTIFICATE—–

Nous allons ensuite injecter le .pem du côté UCP Controllers en connectant au portail UCP Controller


Dans Settings > DTR

On saisit le nom de la DTR et on upload le « dtr-ca.pem » pour finir on update le conf


 
 


Nous allons maintenant mettre à jour le portail DTR avec le certificat de l’autorité de certificat de la partie UCP Controller


Dans Settings > Auth Bypass TLS Root CA on colle le contenu du « ucp-ca.pem » puis on sauvegarde les modifications


Il nous faut maintenant pousser le certificat de la CA de la DTR sur tous les Docker Engine de la solution (UCP Controllers / UCP engines)


Ici pour l’UCP Controller node0

sudo mkdir /etc/docker/certs.d/

sudo mkdir /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/

sudo vi /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/ca.crt

On colle le contenu du fichier dtr-ca.pem

service docker restart

 
 

Pareil pour les autres nodes

UCP Controller node1

ssh ucpadmin@axiansucp.ukwest.cloudapp.azure.com -p 2201

sudo mkdir /etc/docker/certs.d/

sudo mkdir /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/

sudo vi /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/ca.crt

On colle le contenu du fichier dtr-ca.pem

service docker restart

 
 

UCP Controller node2

    ssh ucpadmin@axiansucp.ukwest.cloudapp.azure.com -p 2202

sudo mkdir /etc/docker/certs.d/

sudo mkdir /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/

sudo vi /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/ca.crt

On colle le contenu du fichier dtr-ca.pem

service docker restart

 
 

UCP Engine node0

ssh ucpadmin@axiansdockerengine.ukwest.cloudapp.azure.com -p 2200

sudo mkdir /etc/docker/certs.d/

sudo mkdir /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/

sudo vi /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/ca.crt

On colle le contenu du fichier dtr-ca.pem

service docker restart

 
 

UCP Engine node1

ssh ucpadmin@axiansdockerengine.ukwest.cloudapp.azure.com -p 2201

sudo mkdir /etc/docker/certs.d/

sudo mkdir /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/

sudo vi /etc/docker/certs.d/axiansregistry.ukwest.cloudapp.azure.com/ca.crt

On colle le contenu du fichier dtr-ca.pem

service docker restart

 
 

Tout est maintenant prêt et sécurisé

Nous verrons dans la prochaine partie comment cela se passe du côté client (et nous validerons au passage le bon fonctionnement de la DTR sécurisée)

Pour toutes questions n’hésitez pas.

Bonne lecture.

Anthony Costeseque

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :