从多台开发机器管理远程坞机

Question

可以使用停靠机命令从一个开发人员工作站创建坞机计算机，可以从另一个工作站管理这些计算机。我不是在寻找一个解决方案涉及码头群，但只是对接机。

根据我的理解，当对接机在远程环境(如AWS EC2 )上创建机器时，它会创建键和证书，然后用于基于TLS的与机器的通信。因此，从理论上讲，如果我将这些密钥和证书复制到另一台开发人员机器上，我应该能够连接到远程对接机器。

然而，我想知道这是否是完成我所期望的工作的预期方法。IMO，这将是大多数对接者社区可能面临的一个场景，因为多个团队成员将需要共享和管理同一台远程码头机器。

如能就此事提供任何指导，将不胜感激。

Answer 1

通过使用基于TLS的通信，docker利用了双向SSL验证.换句话说，客户端不仅要验证服务器，而且还要反过来验证服务器。通过创建启用TLS的坞机，您将成为自己的证书颁发机构(CA)，因此负责管理SSL证书。Docker机器在幕后实现了这一点，但我相信您可以手动设置自签名CA并重新定位Docker以使用安装的证书和密钥。因此，与其向所有开发人员工作站共享一个证书和密钥，不如为每个由CA私钥签名的开发人员颁发唯一的证书和私钥。每个人都必须共享的唯一东西是CA证书，它是公开的。

这样做的好处是，您可以在开发人员离开后撤销证书，尽管这对于自签名证书来说很困难，而且它允许问责性，您可以检查谁从日志中做了什么。

码头TLS设置。

成为您自己的CA教程和证书吊销

Answer 2

有一个导入/导出坞机的外部工具：机器共享。

machine-export <machine-name>
>> exported to <machine-name>.zip
machine-import <machine-name>.zip
>> imported

顺便说一下，我认为Daniel的解决方案更好，但需要对工具/工作流进行大量投资。machine-export对95%的病例应足够。