》一文中简单介绍了 Docker Machine 及其基本用法，但是忽略的细节实在是太多了。比如 Docker 与 Docker Machine 的区别？又如当我们执行 docker-machine create 命令时，Docker Machine 都做了哪些重要的事情使得我们可以远程操作 Docker daemon？这样的远程操作安全吗？本文将试图解读这些问题。注：本文的演示环境为 Ubuntu16.04。

Docker 是一个 Client-Server 架构的应用，人家是有官称的：Docker Engine。Docker 只是大家对 Docker Engine 的昵称，当然 Docker 还有其他的意思，比如一家公司的名称。简单起见，本文中的 Docker 等同于 Docker Engine。

Docker Machine 则是一个安装和管理 Docker 的工具。它有自己的命令行工具：docker-machine。

中执行的 $ eval $(docker-machine env krdevdb) 命令就是在设置 DOCKER_HOST 环境变量。

解决安全问题

解决方案是同时启用 Docker daemon 和 Docker 客户端的 TLS 证书认证机制。这样 Docker daemon 和 Docker 客户端之间的通信会被加密，并且只有安装了特定证书的客户端才能够与对应的 Docker daemon 交互。

内容。

2. 生成证书保护 Docker 服务的安全。

文件 10-machine.conf：

配置文件至关重要，因为它会覆盖 Docker 默认安装时的配置文件，从而以 Docker Machine 指定的方式启动 Docker daemon。至此我们有了一个可以被远程访问的 Docker daemon。

生成证书

配置文件中看到四个以 --tls 开头的参数，分别是 --tlsverify、--tlscacert、--tlscert和 –tlskey。其中的 --tlsverify 告诉 Docker daemon 需要通过 TLS 来验证远程客户端。其它三个参数分别指定了一个 pem 格式文件的路径，按照它们指定的文件路径去查看一下：

文件。毫无疑问它们是 Docker Machine 生成的，主要是为了启用 Docker daemon 的 TLS 验证功能。关于 TLS，笔者在《》一文中略有涉及，当时是手动配置的证书，感兴趣的朋友可以参考一下。

文件(ca.pem、server-key.pem 和 server.pem)，和主机 drdevdb 上的文件对比一下，发现它们是一样的！

文件的目录，这个目录正是我们前面查看的 /home/nick/.docker/machines/krdevdb 目录。

生成了一系列保证安全性的秘钥和数字证书(*.pem)文件。这些文件在本地和远程 Docker 主机上各存一份，本地的用于配置 Docker 客户端，远程主机上的用于配置 Docker daemon，让两边都设置 TLS 验证的标记，依此实现安全的通信。

用户来说，需要的总是更简单，更容易的配置。因此从使用者的角度来看，Docker Machine 确实很酷，一个命令下去不仅能够安装虚机和 Docker，还完成了很多手动搞起来令人生畏的配置。然后带来几个清晰、简单的命令。再然后，同学们就可以开心愉快的玩耍了！