为 Docker 配置 TLS

最新推荐文章于 2023-03-23 09:01:30 发布
最新推荐文章于 2023-03-23 09:01:30 发布
阅读量969 收藏 1
点赞数
分类专栏: Container 文章标签: tls http docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BeiKeJieDeLiuLangMao/article/details/115268069
版权

引言

Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker 以安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。更多相关文章和其他文章均收录于贝贝猫的文章目录

安装 cfssl

这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。

安装 cfsslcfssljson 以及 cfssl-certinfo(假设已有GoLang环境):

go get -u github.com/cloudflare/cfssl/cmd/cfssl
go get -u github.com/cloudflare/cfssl/cmd/cfssljson
go get -u github.com/cloudflare/cfssl/cmd/cfssl-certinfo

另外也可以直接下载二进制包:

curl -o cfssl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

该网站上的 cfssl 好久没更新啦,建议通过 GO 方式安装。

创建证书

根证书(CA)

首先我们需要创建一个 CA 证书,后续利用它去生成其他证书。

配置文件
cat > ca-config.json << EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "docker": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF
  • profiles: 可以定义多个 profile,分别指定不同的过期时间、使用场景等参数,在签名证书时使用某个 profile;
  • server auth: 服务端证书,表示 client 可以用该 CA 对 server 提供的证书进行验证;
  • client auth: 客户端证书,表示 server 可以用该 CA 对 client 提供的证书进行验证
生成根证书

证书请求文件(CSR):

cat > ca-csr.json << EOF
{
  "CN": "LiKe Personal CA",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "LiaoNing",
      "L": "DaLian",
      "O": "My Org",
      "OU": "My Org Unit"
    }
  ],
  "ca": {
    "expiry": "87600h"
 }
}
EOF

生成根证书和私钥:

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

得到:

ca-key.pem
ca.pem

服务端证书

CSR 配置:

cat > server-csr.json << EOF
{
  "CN": "Docker Server",
  "hosts": [
    "127.0.0.1",
    "x.x.x.x",
    "my.docker.server",
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "LiaoNing",
      "L": "DaLian",
      "O": "My Org",
      "OU": "My Org Unit"
    }
  ]
}
EOF
  • CN: Common Name,通常为域名或服务器的 FQDN(完全限定域名)
  • hosts: 如果该证书能被多域名使用,可在这里添加 DNSIP

生成服务端证书和私钥:

cfssl gencert -ca ca.pem -ca-key ca-key.pem -config ca-config.json -profile docker server-csr.json | cfssljson -bare server

得到:

server-key.pem
server.pem

客户端证书

客户端证书的配置中除了没有 hosts 字段,其他与生成服务端证书一样。

cat > client-csr.json << EOF
{
  "CN": "Docker Client",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "LiaoNing",
      "L": "DaLian",
      "O": "My Org",
      "OU": "My Org Unit"
    }
  ]
}
EOF

生成客户端证书和私钥:

cfssl gencert -ca ca.pem -ca-key ca-key.pem -config ca-config.json -profile docker client-csr.json | cfssljson -bare client

得到:

client-key.pem
client.pem

最后为了保护 key 文件,需要移除其写权限,并保证只有自己可读:

chmod -v 0400 ca-key.pem server-key.pem client-key.pem

另外证书是任何人都可以访问的:

chmod -v 0444 ca.pem server.pem client.pem

配置docker

修改 dockerd 的启动命令:

dockerd --tlsverify --tlscacert=ca.pem --tlscert=server.pem --tlskey=server-key.pem -H=0.0.0.0:2376

为了连接远端 Docker 并验证服务端证书,需要提供客户端 key、客户端证书以及信任的 CA:

docker --tlsverify --tlscacert=ca.pem --tlscert=client.pem --tlskey=client-key.pem -H=$HOST:2376 version

每次执行 docker 命令时都提供证书是很麻烦的,我们可以把证书和密钥放在 ~/.docker 目录下,并设置 DOCKER_HOSTDOCKER_TLS_VERIFY 环境变量,这样默认就走 TLS 的方式。

mkdir -p ~/.docker
cp -v {ca,cert,key}.pem ~/.docker
export DOCKER_HOST=tcp://$HOST:2376 DOCKER_TLS_VERIFY=1

docker ps

注意: .docker目录下的证书文件名必须为 ca.pem, cert.pem, key.pem

另外还可以利用 curl 来发送 Docker 请求:

curl https://$HOST:2376/images/json \
  --cert ~/.docker/cert.pem \
  --key ~/.docker/key.pem \
  --cacert ~/.docker/ca.pem

参考内容

[1] generate-self-signed-certificates
[2] Docker security

stun

贝克街的流浪猫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
docker-machine-export:一种将docker-machine凭证导出到另一台计算机的简便方法
05-12
码头工人机器出口 该脚本用于输出Docker Machine环境变量,包括证书。 如果要从另一台计算机控制Docker Machine,这将很有用。 使用示例如下: docker-machine env swarm-example | docker-machine-export 在此示例中: { "DOCKER_TLS_VERIFY": "1", "DOCKER_HOST": "tcp:\/\/192.168.99.1:2376", "DOCKER_CERT_PATH": "(path)\/swarm-example", "DOCKER_MACHINE_NAME": "swarm-example", "ca.pem": "(base64 encoded ca.pem)", "cert.pem": "(base64 encoded cert.pem)",
Docker学习总结】12.Docker守护进程的配置和操作
热门推荐
程序猿之洞
01-06 1万+
上一篇总结了Docker的CS模式的具体概念,本篇来学习Docker守护进程的配置和操作。 在上一篇的演示中,我们使用了Linux的ps命令查看了Docker守护进程的运行状态。那么,除了ps命令,我们也可以使用Docker提供的“service docker status  ”命令来查看Docker守护进程的运行状态: 通过Active状态为“active(running)”可以看出,Dock...
cyclops:Docker驱动的REPL,用于脚本编写和自动化
05-12
独眼巨人 一个由docker支持的用于系统脚本和配置。 比虚拟机更快,比生产更安全,比本地终端更多的反馈。 独眼巨人在docker容器内执行命令并提供即时反馈。 提交更改以增量构建最终映像或Dockerfile。 如果您不喜欢自己看到的内容,请快速回滚。 完成后,将您的历史记录写到Dockerfile和/或保存生成的Docker容器以供以后使用。 独眼巨人旨在帮助: 以安全,快速的方式浏览Shell命令 构建Dockerfile 测试脚本的执行和自动化 入门 我们还没有打包二进制文件。 您需要Go环境设置,然后: $ go get github.com/thisendout/cyclops 确保设置了DOCKER_HOST env变量。 可以帮助完成这一部分。 $ docker-machine env dev export DOCKER_TLS_VERIFY=yes exp
20190903chromium v8 depot_tools+源码
09-04
本源码2019-09-03下载的,环境搭建过程已经通过自己测试,按下面环境搭建可以直接进行项目编译。 由于每个人使用场景可能不一样,这里就不直接提供编译后的库文件了 v8 2019-09-03.zip目录说明: v8 2019-09-03.zip目录说明: depot_tools 下载google开源程序源码必须工具 v8 chromium v8 项目源码 .cipd 拉取源码过程中生成的,不清楚具体用途,可以百度查询 编译过程 1、解压到任务目录,存放源码文件的盘建议至少预留30G的空间,源码本身2.7G左右,项目完整编译后大约30G 2、安装vs2017 VC编译环境,注意要安装win10sdk,如果已经安装可以自动进入下一步 3、配置环境变量 不会编译环境变量的请自行百度 WINDOW环境变量配 DOCKER_TLS_VERIFY=1 GYP_MSVS_VERSION=2017 GYP_MSVS_OVERRIDE_PATH=C:\Program Files (x86)\Microsoft Visual Studio\2017\Community #VS2017的安装根目录,网上有说可以不用配 path=v8\depot_tools #depot_tools 直接配置在环境变量path中就可以了,主要用于直接执行gclient命令,虽然这个地方已经不需要使用了 path=v8\depot_tools\win_tools-2_7_15_chromium14_bin\python\bin #python2的配置,如果你的系统已经有python2 就以不需要配置,v8在构建项目的时候,使用的是python2的脚本 4、cd 进入 v8源码目录 也就是我们压缩包中的v8\v8
reg:Docker Registry v2命令行客户端和带有安全检查的仓库列表生成器
02-01
reg 带有安全检查的Docker注册表v2命令行客户端和仓库清单生成器。 目录 安装 二进制文件 有关二进制文件的安装说明,请访问。 通过围棋 $ go get github.com/genuinetools/reg 用法 $ reg -h reg - Docker registry v2 client. Usage: reg <command> Flags: --auth-url alternate URL for registry authentication (ex. auth.docker.io) (default: <none>) -d enable debug logging (default: false) -f, --force-non-ssl force allow use of non-ssl (default: false) -k, --insecure do not verify tls certificates (default: false) -p, --pas
Docker安全配置Docker-TLS加密
kele_baba
08-05 1538
Docker安全配置一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、部分安全操作1、容器最小化2、Docker remote api 访问控制4、镜像安全5、Docker-TLS加密通讯
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1257
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
DockerTLS认证
qq_27858615的博客
07-28 1368
dockerTLS认证
docker_tls配置
weixin_50668398的博客
03-23 341
修改docker启动配置,启动参数加上这些 vi /lib/systemd/system/docker.service。执行生成证书脚本 vi tls.sh 证书生成路径/etc/docker/ca/通过docker命令行测试端口开放是否成功 ps:如0.0.0.0运行失败换成本机ip。脚本预写,可不执行 重启docker服务。
Docker本地仓库tls漏洞:TLS版本过低
qq_41042211的博客
06-07 1308
s'dsd问题描述:TLSv1.0/1.1 is enabled and the server supports at least one cipher. 解决方案1(失败): 按照docker官方文档的描述,可以通过在docker本地仓库的配置文件config.xml中设定允许使用的tls最低版本。 官方文档参考链接:Configuring a registry | Docker Documentation 在本地做成一个config.xml文件,挂载到docker容器中。 例:vim /etc
Docker启用TLS实现安全配置的步骤
09-29
主要给大家介绍了关于Docker启用TLS实现安全配置的方法步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
docker中的nginx配置https的方法步骤
01-11
没有 https 加持的网站会逐渐地被浏览器...本文将介绍如何为通过 docker 运行的 nginx 中的站点添加 https 支持,并自动完成证书的更新。本文的演示环境为:运行在 Azure 上的 Ubuntu 16.04 主机(此图来自互联网): 准
使用portainer连接远程docker的教程
09-29
Portainer是一个轻量级的docker环境管理UI,可以用来管理docker宿主机和docker swarm集群,这篇文章主要介绍了使用portainer连接远程docker的方法,需要的朋友可以参考下
boot2docker-xhyve:在xhyve系统管理程序上运行的Boot2Docker
02-19
在xhyve管理程序上运行的Boot2Docker特征boot2docker v19.03.5 禁用TLS 公开IANA注册的官方Docker端口2375 支持NFS同步文件夹:/ Users已在boot2docker VM上NFS挂载。要求Mac OS X Yosemite 10.10.3或更高版本2010或...
Kubernetes 网络实现——Pod网络
贝克街的流浪猫
04-01 1637
引言 前面我们已经介绍了 Kubernetes 的各方面实现方案,但是网络这块比较复杂,所以我们这里单独用来进行介绍,网络部分主要分 5 个部分,即 Pod 网络,Service 网络,外网通讯、LoadBalance、Ingress,本文介绍其中的第一个部分 Pod 网络。 网络原理 作为拓展,这里我们以 flannel 为例展开介绍一下 Kubernetes 内网络通讯的实现。在介绍之前,我们得先明确 Kubernetes 中的三种网络的概念: node network:承载 kubernetes
Kubernetes 网络实现——Service网络
贝克街的流浪猫
04-01 804
引言 本文介绍 Kubernetes 网络中 Service 网路部分的实现方案。 Service 网络 service network 比较特殊,每个新创建的 service 会被分配一个 service IP,它实际上只是一个存在于 iptables 中的路由规则,并没有对应的虚拟网卡。还记得我们在试玩环节创建的 kubia service 吗?我们只要在集群中的任意机器查看 iptables 就能发现端倪,这里需要声明的是我当时在创建 Kubernetes 集群时指定的 PodSubnet 为 19
Kubernetes 网络实现——外网通讯
贝克街的流浪猫
04-01 438
引言 本文介绍 Kubernetes 网络中外网通讯、LoadBalance 以及 Ingress 部分的实现方案。 与外网通讯 到目前为止,我们已经清楚了 Kubernetes 集群内部的网络通讯原理,但是我们还没有讲清楚外部世界的网络怎么和我们的 Kubernetes service 交互。这包含两个部分,集群内的数据包怎么发送到外部网络,以及外部网络的数据包怎么流入 pod。 以我现在使用的内部云服务为例,我的 Kubernetes 集群实际上运行在一个虚拟机上,这些虚拟机都被指定了一个内部 ip,
Kubernetes 实现原理
贝克街的流浪猫
04-01 436
引言 前面我们已经简单地介绍了 Kubernetes 的常用资源,本文我们将介绍 Kubernetes 的实现方案。 Kubernetes 实现原理 现在我们已经知道了大多数可以部署到 Kubernetes 的资源,现在是时候了解下它们是怎么被实现的了。我们知道 Kubernetes 有两种节点,控制节点和工作节点。控制平面负责控制并使得整个集群正常运转,包括 etcd,API 服务器,调度器,控制器管理器,这些组件用来存储、 管理集群状态,但它们不是运行应用的容器。工作节点包括 kubelet,kube
如何调整 DockerTLS 设置,例如增加 TLS 握手超时时间。
最新发布
06-09
要调整 DockerTLS 设置,需要修改 Docker daemon 的配置文件。以下是修改 TLS 握手超时时间的步骤: 1. 打开 Docker daemon 的配置文件 /etc/docker/daemon.json。 2. 如果文件不存在,则创建它。 3. 在配置文件中添加以下内容: ``` { "tls": true, "tlscacert": "/path/to/ca.pem", "tlscert": "/path/to/cert.pem", "tlskey": "/path/to/key.pem", "tlsverify": true, "tls_handshake_timeout": 5 } ``` 其中 tls_handshake_timeout 为 TLS 握手超时时间,以秒为单位。在上面的示例中,超时时间为 5 秒。 4. 保存配置文件并重启 Docker daemon。例如,在 Ubuntu 上,可以使用以下命令重启 Docker daemon: ``` sudo systemctl restart docker ``` 注意:在修改 Docker daemon 的配置文件之前,请备份原始文件。此外,请确保正确配置 TLS 证书和密钥,并将其放在正确的路径下。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贝克街的流浪猫

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值