Windows Docker 主機的遠端管理

即使在缺乏 docker-machine 的情況下，您仍然可在 Windows Server 2016 VM 上建立遠端存取 Docker 主機。

步驟相當直接易懂︰

• 使用 dockertls 建立伺服器上的憑證。 如果您要使用 IP 位址建立憑證，建議您使用靜態 IP，以避免 IP 位址變更時需重新建立憑證。

• 重新啟動 Docer 服務 Restart-Service Docker

• 建立允許輸入流量的 NSG 規則，以便使用連接埠 Docker 的 TLS 連接埠 2375 和 2376。 請注意，對於安全連線只需允許 2376。 入口網站應該會顯示 NSG 組態，如下所示：

• 允許透過 Windows 防火牆的輸入連線。

New-NetFirewallRule -DisplayName 'Docker SSL Inbound' -Profile @('Domain', 'Public', 'Private') -Direction Inbound -Action Allow -Protocol TCP -LocalPort 2376

• 將電腦上您使用者的 docker 資料夾檔案 ca.pem、'cert.pem' 及 'key.pem' (例如c:\users\chris\.docker) 複製到您的本機電腦。 例如，您可以從 RDP 工作階段使用 ctrl-c 加上 ctrl-v 將檔案複製貼上。
• 確認您可以連線到遠端 Docker 主機。 WMIMgmt.msc

docker -D -H tcp://wsdockerhost.southcentralus.cloudapp.azure.com:2376 --tlsverify --tlscacert=c:\
users\foo\.docker\client\ca.pem --tlscert=c:\users\foo\.docker\client\cert.pem --tlskey=c:\users\foo\.doc
ker\client\key.pem ps

疑難排解

嘗試不使用 TLS 進行連線來判斷您的 NSG 防火牆設定是否正確

連線錯誤通常會顯示為如下錯誤︰

error during connect: Get https://wsdockerhost.southcentralus.cloudapp.azure.com:2376/v1.25/version: dial tcp 13.85.27.177:2376: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.

新增未加密的連線，方法是將

{
    "tlsverify":  false,
}

新增至 c"\programdata\docker\config\daemon.json 然後重新啟動服務。

使用如下的命令列連線到遠端主機︰

docker -H tcp://wsdockerhost.southcentralus.cloudapp.azure.com:2376 --tlsverify=0 version

憑證問題

使用非針對 IP 位址或 DNS 名稱所建立的憑證存取 Docker 主機，將導致發生錯誤︰

error during connect: Get https://w.x.y.c.z:2376/v1.25/containers/json: x509: certificate is valid for 127.0.0.1, a.b.c.d, not w.x.y.z

請確保 w.x.y.z 是主機公用 IP 的 DNS 名稱，且任一 DNS 名稱符合憑證的通用名稱，而該名稱為 SERVER_NAME 環境變數或提供給 dockertls 之 IP_ADDRESSES 變數中的其中一個 IP 位址

crypto/x509 警告

您可能會收到警告

level=warning msg="Unable to use system certificate pool: crypto/x509: system root pool is not available on Windows"

此為善意警告。