Idea集成docker实现镜像打包_ideadocker镜像打包-CSDN博客
之前通过这种方式虽然可以实现idea通过maven打jar包的同时把docker镜像也进行打包,但是这种方式存在很大漏洞,就是服务器的2375端口大开,任何人拿着idea通过这种方式都可以连接服务器去进行操作,风险很大。所以这种就只适合自己在局域网访问使用,如果放到公网操作的话,就要通过ca加密后来进行操作。
这是docker官网的Demo,演示如何通过ca加密
https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl
不过我根据官网的操作步骤操作下来,大部分是没问题的,后面有些操作却过不去,所以自己总结了一下。
前面都是根据官网的操作进行
在/usr/local目录下新建一个文件夹ca,并进入这个文件夹开始操作
cd /usr/local/
mkdir ca
cd ca
openssl genrsa -aes256 -out ca-key.pem 4096
执行上面命令后,设置一下秘钥
在连续两次正确秘钥输入后,再执行下面命令
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
此时会要求输入刚才设置的秘钥,当输入秘钥后会要求输入国家、省、市、公司、部门、姓名、邮件地址等信息
接下来按照官方文档的命令继续:
执行下面命令
openssl genrsa -out server-key.pem 4096
上面命令执行后,再执行下面命令,但是 $HOST 要换成对应的docker服务器的ip地址或域名
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
上面命令执行后,再执行下面命令,但是 $HOST 要换成对应的docker服务器的域名,如果没有域名可以将该参数删除。而后面两个IP第一个是docker服务器的IP,第二个则是本地回环地址就写127.0.0.1即可
echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf
或
echo subjectAltName = IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf
上面命令执行后,再执行下面命令
echo extendedKeyUsage = serverAuth >> extfile.cnf
上面命令执行后,再执行下面命令,执行的过程中也会提示输入之前设置的秘钥
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out server-cert.pem -extfile extfile.cnf
接下来按照官方文档的命令继续:
执行下面命令
openssl genrsa -out key.pem 4096
上面命令执行后,再执行下面命令
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
上面命令执行后,再执行下面命令
echo extendedKeyUsage = clientAuth > extfile-client.cnf
上面命令执行后,再执行下面命令,执行的过程中,需要输入之前设置的秘钥
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out cert.pem -extfile extfile-client.cnf
接下来可以删除多余的文件
rm -v client.csr server.csr extfile.cnf extfile-client.cnf
接下来按照官方文档的命令继续:
上面命令执行后,再执行下面命令设置权限
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
但是再继续执行下面命令的时候,可能会报错
dockerd \
--tlsverify \
--tlscacert=ca.pem \
--tlscert=server-cert.pem \
--tlskey=server-key.pem \
-H=0.0.0.0:2376
之前做到这一步后我卡住了,后来折腾了一翻后终于也算完成
接下来的操作就不照官网操作了,将当前目录下的pem文件进行拷贝到 /etc/docker 目录下
cp server-*.pem /etc/docker/
cp ca.pem /etc/docker/
使Docker守护程序仅接受来自提供CA信任的证书的客户端的连接,打开 docker.service 文件
vim /lib/systemd/system/docker.service
将原先ExecStart开头的内容前面加#注释掉
替换为:
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/usr/local/ca/ca.pem --tlscert=/usr/local/ca/server-cert.pem --tlskey=/usr/local/ca/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
重新加载daemon并重启docker
systemctl daemon-reload
systemctl restart docker
保存相关客户端的pem文件到本地
在idea中进行相关配置,看到下面提示 Connection successful 就表示连接成功了
在项目根目录下创建Dockerfile文件并添加如下内容,当然具体/target目录下的jar包名,则需要根据实际情况进行修改
FROM openjdk:8-jdk
MAINTAINER BruceWong brucewong@huskystudio.cn
WORKDIR /ROOT
ADD /target/docker-1.0-SNAPSHOT.jar /ROOT/app.jar
ENTRYPOINT ["java", "-jar", "app.jar"]
CMD ["java", "-version"]
在SpringBoot项目的pom.xml中的build节点添加如下内容,当然springboot使用的版本要与你使用的对应,dockerHost节点设置为你的docker服务器的地址,dockerCertPath则是你刚才保存相关客户端的pem文件的目录
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<!-- 这里对应你的spring-boot的版本 -->
<version>2.5.0</version>
<executions>
<execution>
<goals>
<goal>repackage</goal>
</goals>
</execution>
</executions>
</plugin>
<plugin>
<groupId>com.spotify</groupId>
<artifactId>docker-maven-plugin</artifactId>
<version>1.2.2</version>
<configuration>
<!-- 镜像名称 testspringboot-->
<imageName>brucewong</imageName>
<!--指定标签-->
<imageTags>
<imageTag>latest</imageTag>
</imageTags>
<!-- 基础镜像jdk 1.8-->
<baseImage>openjdk:8-jdk</baseImage>
<!-- 制作者提供本人信息 -->
<maintainer>BruceWong brucewong@huskystudio.cn</maintainer>
<!--切换到/ROOT目录 -->
<workdir>/ROOT</workdir>
<cmd>["java", "-version"]</cmd>
<entryPoint>["java", "-jar", "${project.build.finalName}.jar"]</entryPoint>
<!-- 指定 Dockerfile 路径 -->
<dockerDirectory>${project.basedir}</dockerDirectory>
<!--指定远程 docker api地址-->
<dockerHost>https://192.168.2.244:2375</dockerHost>
<!-- 指定本地证书路径 -->
<dockerCertPath>D:\Bruce\docker\ca</dockerCertPath>
<!-- 这里是复制 jar 包到 docker 容器指定目录配置 -->
<resources>
<resource>
<targetPath>/ROOT</targetPath>
<!--用于指定需要复制的根目录,${project.build.directory}表示target目录-->
<directory>${project.build.directory}</directory>
<!--用于指定需要复制的文件。${project.build.finalName}.jar指的是打包后的jar包文件。-->
<include>${project.build.finalName}.jar</include>
</resource>
</resources>
<!-- 跳过远程镜像查找 -->
<skipRemoteLookup>true</skipRemoteLookup>
<!-- 设置连接超时时间 -->
<timeoutSeconds>120</timeoutSeconds>
</configuration>
<!--当执行mvn package 时,执行: mvn clean package docker:build -->
<executions>
<execution>
<id>build-image</id>
<phase>package</phase>
<goals>
<goal>build</goal>
</goals>
</execution>
</executions>
</plugin>
<plugin>
<artifactId>maven-clean-plugin</artifactId>
<version>3.1.0</version>
<executions>
<execution>
<id>auto-clean</id>
<phase>initialize</phase>
<goals>
<goal>clean</goal>
</goals>
</execution>
</executions>
</plugin>
</plugins>
</build>
运行maven的package命令,进行打包,这时候不光是打包了jar文件,同时还将其打包成docker镜像并推送到docker服务器上
通过docker images命令就可以看到推送到服务器上的镜像为brucwong,因为依赖jdk所以把openjdk也拉取到服务器上
docker images
在Idea中也可以看到推送的镜像
这时候可以通过docker run命令根据镜像创建容器,也可以在idea中选中镜像直接创建容器都可以
通过docker ps命令查看容器情况
docker ps
总结:
如果项目是通过docker部署的,那么发布的方式可能是先maven打包成jar,然后拷贝到服务器,删除原先docker的容器与镜像,然后通过docker build -t 生成镜像,再通过docker run命令根据镜像创建容器。
而通过以上方式则实现了,在idea中能直接打jar的同时打包docker镜像并推送到服务器,只需要手动创建下容器即可,简化了整体的操作步骤,而且通过ca加密后,那么必须有对应秘钥的客户端才能进行打包,安全性也有所提升。
当然这是单体项目或者团队较小的情况下可以这么试试,如果是项目规模很大团队人员也多的情况下,那更专业的方式肯定是通过 CI/CD 的方式来实现项目部署……