Docker 17参考手册
引擎: CLI | Engine: CLI
docker swarm ca
描述
管理根CA
使用
docker swarm ca [OPTIONS]备选方案
名字,简写 |
默认 |
描述 |
|---|---|---|
--ca-cert |
|
用于新集群的PEM格式的根CA证书的路径 |
--ca-key |
|
用于新集群的PEM格式化根CA密钥的路径 |
--cert-expiry |
2160h0m0s |
节点证书的有效期(ns | us | ms | s | m | h) |
--detach, -d |
假 |
立即退出,而不是等待根旋转收敛 |
--external-ca |
|
一个或多个证书签名端点的规格 |
--quiet, -q |
假 |
抑制进度输出 |
--rotate |
假 |
旋转丛集CA - 如果未提供证书或密钥,则会生成新的证书或密钥 |
父命令
命令 |
描述 |
|---|---|
docker swarm |
管理群 |
相关命令
命令 |
描述 |
|---|---|
docker 群 |
管理根CA |
docker 群初始化 |
初始化一个群 |
docker 群加入 |
加入群体作为节点和/或经理 |
docker 群联合令牌 |
管理联合令牌 |
docker 群离开 |
离开群 |
docker 群解锁 |
解锁群 |
docker 群解锁键 |
管理解锁密钥 |
docker 群更新 |
更新群体 |
扩展描述
查看或旋转当前群集CA证书。此命令必须针对管理器节点。
实例
运行docker swarm ca命令,没有任何选项可以查看PEM格式的当前根CA证书。
$ docker swarm ca
-----BEGIN CERTIFICATE-----
MIIBazCCARCgAwIBAgIUJPzo67QC7g8Ebg2ansjkZ8CbmaswCgYIKoZIzj0EAwIw
EzERMA8GA1UEAxMIc3dhcm0tY2EwHhcNMTcwNTAzMTcxMDAwWhcNMzcwNDI4MTcx
MDAwWjATMREwDwYDVQQDEwhzd2FybS1jYTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABKL6/C0sihYEb935wVPRA8MqzPLn3jzou0OJRXHsCLcVExigrMdgmLCC+Va4
+sJ+SLVO1eQbvLHH8uuDdF/QOU6jQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMB
Af8EBTADAQH/MB0GA1UdDgQWBBSfUy5bjUnBAx/B0GkOBKp91XvxzjAKBggqhkjO
PQQDAgNJADBGAiEAnbvh0puOS5R/qvy1PMHY1iksYKh2acsGLtL/jAIvO4ACIQCi
lIwQqLkJ48SQqCjG1DBTSBsHmMSRT+6mE2My+Z3GKA==
-----END CERTIFICATE-----传递该--rotate标志(以及可选的a --ca-cert,连同一个--ca-key或--external-ca参数标志),以便旋转当前群根CA.
$ docker swarm ca --rotate
desired root digest: sha256:05da740cf2577a25224c53019e2cce99bcc5ba09664ad6bb2a9425d9ebd1b53e
rotated TLS certificates: [=========================> ] 1/2 nodes
rotated CA certificates: [> ] 0/2 nodes一旦旋转os完成(所有进度条完成),将打印当前的CA证书:
$ docker swarm ca --rotate
desired root digest: sha256:05da740cf2577a25224c53019e2cce99bcc5ba09664ad6bb2a9425d9ebd1b53e
rotated TLS certificates: [==================================================>] 2/2 nodes
rotated CA certificates: [==================================================>] 2/2 nodes
-----BEGIN CERTIFICATE-----
MIIBazCCARCgAwIBAgIUFynG04h5Rrl4lKyA4/E65tYKg8IwCgYIKoZIzj0EAwIw
EzERMA8GA1UEAxMIc3dhcm0tY2EwHhcNMTcwNTE2MDAxMDAwWhcNMzcwNTExMDAx
MDAwWjATMREwDwYDVQQDEwhzd2FybS1jYTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABC2DuNrIETP7C7lfiEPk39tWaaU0I2RumUP4fX4+3m+87j0DU0CsemUaaOG6
+PxHhGu2VXQ4c9pctPHgf7vWeVajQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMB
Af8EBTADAQH/MB0GA1UdDgQWBBSEL02z6mCI3SmMDmITMr12qCRY2jAKBggqhkjO
PQQDAgNJADBGAiEA263Eb52+825EeNQZM0AME+aoH1319Zp9/J5ijILW+6ACIQCg
gyg5u9Iliel99l7SuMhNeLkrU7fXs+Of1nTyyM73ig==
-----END CERTIFICATE-------rotate
如果一个或多个群集管理器已被破坏,则建议使用根CA旋转,以便这些管理器无法再连接到群集中的任何其他节点或受其信任。
或者,可以使用根CA旋转来将群集CA控制权授予外部CA,或从外部CA获取控制权。
--rotate标志不需要任何参数进行轮换,但您可以选择指定证书和密钥,或者证书和外部CA URL,并且将使用这些参数代替自动生成的证书/密钥对。
由于根CA密钥应该保密,如果提供,通过CLI或API查看群集任何信息时都不可见。
直到所有注册节点都旋转了他们的TLS证书后,根CA轮换才能完成。如果旋转没有在合理的时间内完成,请尝试运行docker node ls --format {{.ID}} {{.Hostname}} {{.Status}} {{.TLSStatus}}以查看是否有节点关闭或无法旋转TLS证书。
--detach
启动根CA旋转,但不要等待旋转的完成或显示旋转的进度。
引擎: CLI | Engine: CLI相关
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。
| 主页 | https://docker.com/ |
| 源码 | https://github.com/docker/docker |
| 版本 | 17 |
| 发布版本 | 17.06 |
加载中,请稍侯......