IDEA集成docker-maven-plugin配置CA安全证书

(Updated: )
开发实践

通过在IDEA中配置docker-maven-plugin插件,有效避免一些相同且繁琐的docker操作,交给IDEA一键打包,部署

配置CA证书

使用此插件需要服务端开放2375端口,供IDEA连接。这也意味着不安全。安全小白的我一开始没有重视,刚配置完的晚上,就收到了服务器厂商的短信警告,果不其然,被黑客拉去挖矿了…

因此,首先花一分钟配置一下CA证书

依次执行一下命令:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
# 创建CA文件夹
mkdir -p /usr/local/ca
# 进入文件夹
cd /usr/local/ca
#  指定密码
openssl genrsa -aes256 -out ca-key.pem 4096
# 录入相关信息
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
# 生成· server-key.pem
openssl genrsa -out server-key.pem 4096
# 将HOST改为自己的IP或者域名
openssl req -subj "/CN=124.222.85.137" -sha256 -new -key server-key.pem -out server.csr
# 替换自己的IP 配置可访问的IP 0.0.0.0代表所有IP可以访问
echo subjectAltName = IP:192.168.1.195,IP:0.0.0.0 >> extfile.cnf
# 生成 extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
# 生成 ca-key
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf
# 生成 key.pem
openssl genrsa -out key.pem 4096
# 执行
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
# 生成 cert.pem
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf
# 修改权限
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
# 复制到Docker目录下
cp server-*.pem  /etc/docker/
cp ca.pem /etc/docker/
# 修改docker配置文件
vim  /lib/systemd/system/docker.service
# 将里面的ExecStart替换为
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
# 重新加载daemon
systemctl daemon-reload
systemctl restart docker
# 开放2375端口
/sbin/iptables -I INPUT -p tcp --dport 2375  -j  ACCEPT
iptables-save
# 重启
service docker restart

在服务器的控制台开放2375端口

将ca文件夹复制到自己的电脑上

image-20220220194336759

IDEA连接

image-20220220194550218

在设置中连接IP,并放入CA文件夹

在**服务(service)**窗口中可以看到,Docker服务已经存在。可以在里面方便地进行Docker的相关操作

image-20220220194918722

maven中引入插件

Dockerfile

自行选择一个地方写Dockerfile

image-20220220195850578

贴一份简单的针对SpringBoot项目的Dockerfile

1
2
3
4
5
6
FROM java:8
VOLUME /tmp
ADD metrichall-1.0.jar metrichall.jar
EXPOSE 8080
# -Djava.security.egd=file:/dev/./urandom命令用于减少SpringBoot内嵌的Tomcat启动时间
ENTRYPOINT ["java","-Djava.security.egd=file:/dev/./urandom","-jar","/metrichall.jar"]

然后,声明一个docker镜像前缀

image-20220220195141867

build->plugins->plugin引入docker-maven-plugin

image-20220220195436191

贴上代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 <plugin>
     <groupId>com.spotify</groupId>
     <artifactId>docker-maven-plugin</artifactId>
     <version>1.0.0</version>
     <configuration>
         <!--远程Docker地址-->
         <dockerHost>https://xxx.xxx.xxx.xxx:2375</dockerHost>
         <!--CA证书地址-->
         <dockerCertPath>D:\ca</dockerCertPath>
         <!--镜像名称,前缀/项目名-->
         <imageName>${docker.image.prefix}/${project.artifactId}</imageName>
         <!--Dockerfile的位置-->
         <dockerDirectory>src/main/resources/docker</dockerDirectory>
         <resources>
             <resource>
                 <targetPath>/</targetPath>
                 <directory>${project.build.directory}</directory>
                 <include>${project.build.finalName}.jar</include>
             </resource>
         </resources>
     </configuration>
</plugin>

享受成果

通过maven插件打包(mvn clean package)

image-20220220200655050

在docker插件中执行build镜像,或推送镜像到仓库中

image-20220220200755004

后面,自行在docker服务窗口中进行生成容器,运行…

这样,我们就可以在IDEA一键构建运行推送了!