Vultr CentOS 7 安装 Docker

最近在梳理公司的架构，想用 VPS 先做一些测试，然后就开始踩坑了！我用 Vultr 新买了个 VPS。

环境

安装的 CentOS 版本：

[root@dbn-seattle ~]# cat /etc/redhat-release 
CentOS Linux release 7.5.1804 (Core)

安装

先安装 Nginx，图方便，用了个自动脚本：

wget http://mirrors.linuxeye.com/oneinstack-full.tar.gz && tar xzf oneinstack-full.tar.gz && ./oneinstack/install.sh --nginx_option 1

安装 Nginx 成功，重启服务器，连接 SSH。

再安装 Docker：

# 移除旧版本的 Docker
yum remove docker \
  docker-client \
  docker-client-latest \
  docker-common \
  docker-latest \
  docker-latest-logrotate \
  docker-logrotate \
  docker-selinux \
  docker-engine-selinux \
  docker-engine
# 安装 Docker 依赖
yum install -y yum-utils device-mapper-persistent-data lvm2
# 添加源
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
# 更新 yum 缓存
yum makecache fast
# 安装 Docker-CE
yum install -y docker-ce
# 开启 Docker
systemctl start docker
# 安装 Docker Compose
curl -L "https://github.com/docker/compose/releases/download/1.22.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
# Docker 和 Swarm 相关防火墙配置
systemctl status firewalld
systemctl start firewalld
firewall-cmd --add-port=9010/tcp --permanent
firewall-cmd --add-port=9020/tcp --permanent
firewall-cmd --add-port=443/tcp --permanent
firewall-cmd --add-port=80/tcp --permanent
firewall-cmd --add-port=80/udp --permanent
firewall-cmd --add-port=22/tcp --permanent
firewall-cmd --add-port=22/udp --permanent
firewall-cmd --reload
systemctl restart docker
# 开机自启动
systemctl enable firewalld
systemctl enable docker

一顿操作下来，执行顺利，无任何差错 Perfect！！

# 这里说明一下如果开始 firewalld 服务被锁定：Unit is masked
# 需要先解除锁定，然后才能开放端口
systemctl unmask firewalld

重启的悲剧

Docker 安装成功后，只要重启了 VPS（不重启什么问题都没有），就会出现问题： SSH 连接不上了。

我重新安装了四遍才定位到是由于安装 Docker 重启导致 SSH 连接不上。前两次操作较多，没有定位到问题，期间我还升级了一下配置！！

尝试过的解决方案：

• 万能重启大法：无效，依然连接不上 SSH。
• IP 被河蟹了？TCP 阻断了？
  • 国内工具扫描 22 端口：关闭。国外工具扫描 22 端口：关闭。
  • 国内 Ping ：不通。国外 Ping ：不通。
  • 由此断定是服务器出现问题了。
• 尝试在安装完毕后关闭防火墙：无效，依然连接不上 SSH。
• 厂商有问题？我尝试切换机房，然而问题再次出现了。

至此我就有点凌乱了，我反复确认了下自己操作的步骤，没有问题啊！得了，去网上找答案，爬着梯子就开始逛各个论坛，最后我在 segmentfault 发现了一个问答：参考资料①，然后我看的了这个博文：参考资料②，最后找到了 Vultr 的官方文档：参考资料③。

解决问题

对于 CentOS 7 实例，Docker 团队和 RHEL 团队提供 Selinux 支持。它已在 Vultr 一键式应用程序上禁用，但可以通过编辑 /etc/selinux/config 文件再次启用。

Fully securing a system that runs containers is an involved task. This task includes minimizing the attack surface on the Docker daemon. For a system that intends to run containers comparable to how a normal system would run binary apps, it is not as much of a concern. But for multi-tenant container configurations, or container configurations that need isolation (such as for credit card processing), securing the Docker daemon is more important.

至此我重置了 VPS ，运行命令：

[root@dbn-seattle ~]# getenforce
Disabled

看到了 Selinux 的初始状态是禁止的状态。然后我安装 Docker ，安装完成后我再次运行命令：

[root@dbn-seattle ~]# getenforce
Permissive

这里发现 Selinux 打开了，我们需要手动关闭下：

[root@dbn-seattle ~]# vim /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

SELINUX 修改成 disabled ，然后重启 VPS ，一切正常！！！

参考资料

① https://segmentfault.com/q/1010000015306843/a-1020000016431863

② https://hunterx.xyz/install-docker-on-vultr-centos-vps.html

③ https://www.vultr.com/docs/one-click-docker