Machine: regenerate-certs는 swarm-master에서 작동하지 않습니다

에 만든 2015년 12월 21일 · 5코멘트 · 출처: docker/machine

다음 시나리오를 고려하십시오.

docker-machine create -d amazonec2 --swarm --swarm-master (기타)
모든 것이 작동합니다(단일 노드 swarm-master + swarm 노드)
Amazon 인스턴스의 IP 변경(제 경우에는 Elastic IP 설정)
docker-machine은 _magic_을 통해 IP 변경을 감지합니다.
새 IP에 대한 docker-machine env 는 tls 인증서 IP 불일치에 대해 불평합니다.
docker-machine regenerate-certs 는 docker-machine env와 함께 docker가 다시 작동하도록 합니다.
그러나 docker-machine env --swarm 는 아무 문제가 없는 것처럼 작동하지만 docker 또는 docker-compose 명령은 아무 작업도 수행하지 않습니다. cli에는 오류가 없으며 아무 것도 없습니다. --swarm IP를 사용하지 않을 때 docker 이미지는 적절한 이미지 목록을 생성하지만 --swarm IP를 사용하면 헤더만 나열하고 이미지는 나열하지 않습니다.

regenerate-certs 는 기존 스웜과 함께 작동해야 합니까?

areswarm kinbug

출처

BretFisher

👍1

모든 5 댓글

swarm을 실행하면 처음 초기화될 때 공용 IP에서 수신 대기합니다. docker inspect swarm manage 프로세스의 docker inspect 는 다음과 같습니다.

{
  "Path": "/swarm",
  "Args": [
      "manage",
      "--tlsverify",
      "--tlscacert=/etc/docker/ca.pem",
      "--tlscert=/etc/docker/server.pem",
      "--tlskey=/etc/docker/server-key.pem",
      "-H",
      "tcp://0.0.0.0:3376",
      "--strategy",
      "spread",
      "--advertise",
      "PUBLICIP:2376",
      "--replication",
      "etcd://ectd.host:2379/swarm"
    ]
}

내가 찾은 빠른 (그리고 다소 게으른) 해결 방법은 단순히 docker-machine 명령을 다시 실행하지만 대신 일반 드라이버를 사용하여 떼를 설정하는 것입니다.

docker-machine --debug create NEWNAME -d generic \
--generic-ip-address SERVERIP \
--generic-ssh-key KEYPATH \
--generic-ssh-user core \
--engine-label public=false \
--swarm \
--swarm-master \
--swarm-opt replication \
--swarm-discovery=etcd:/URL:PORT/swarm \
--engine-opt "cluster-store=etcd://URL:PORT/store" \
--engine-opt "cluster-advertise=eth0:2376"

dustinblackman 에 2016년 01월 05일

👍1

이 팁 @dustinblackman에 감사드립니다. 이 해결 방법은 많은 도움이 됩니다!
스웜 마스터를 재생성한 후 이러한 기계 중 하나를 제거할 가능성이 있습니까?
동일한 서버가 다른 이름으로 두 번 나열되면 약간 구성되어 보입니다.

rm-jamotion 에 2016년 02월 02일

@rm-jamotion docker-machine rm 사용하지 않고? ~/.docker/machine/machines 에서 머신 폴더를 삭제할 수 있습니다.

dustinblackman 에 2016년 02월 02일

@dustinblackman 예, 알지만 aws 드라이버를 사용하여 첫 번째 머신을 제거해야 합니다. 하지만 일반 드라이버로 생성된 머신을 제거하고 키를 aws 머신으로 옮길 수 있다면 더 좋을 것입니다. 따라서 aws의 시작/중지 기능은 계속 사용할 수 있습니다...

rm-jamotion 에 2016년 02월 07일

도커 머신 버전 0.7.0, 빌드 783b3a8,

그것은 IP 주소의 문제가 아닙니다. Virtualbox 드라이버에서 IP 주소를 변경하지 않아도 regenerate-certs가 잘못된 키 사용을 생성한다는 것을 알았습니다.

sudo openssl x509 -in /var/lib/boot2docker/server.pem -noout -text | grep -A8 "X509v3 extensions"
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Key Agreement
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Alternative Name: 
                DNS:localhost, IP Address:10.10.0.148

docker 데몬의 로그에서 다음을 찾을 수 있습니다.

2016-07-29 13:13:58.745094 I | http: TLS handshake error from 10.10.0.60:33214: tls: failed to verify client's certificate: x509: certificate specifies an incompatible key usage

도커 정보에서 스웜에 연결되면 모든 노드가 보류 중이고 스웜 마스터 로그에서:

time="2016-07-29T13:22:58Z" level=debug msg="Failed to validate pending node: The server probably has client authentication (--tlsverify) enabled. Please check your TLS client certification settings: Get https://10.10.0.60:2376/info: remote error: bad certificate" Addr="10.10.0.60:2376"

s4s0l 에 2016년 07월 29일

👍1

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Machine: regenerate-certs는 swarm-master에서 작동하지 않습니다

모든 5 댓글

관련 문제