Docker 加密通讯 TLS

最新推荐文章于 2024-05-29 13:34:49 发布
最新推荐文章于 2024-05-29 13:34:49 发布
阅读量368 收藏
点赞数
分类专栏: 容器 文章标签: ssl docker apache centos 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ora_G/article/details/108820746
版权

文章目录

TLS概述

TLS是Https的安全基础,TLS协议可用于保护正常运行于TCP之上的任何应用协议的通信。TLS协议的有点在于它是与应用层协议无关的。高层的应用协议能透明地建立于TLS协议之上。
TLS协议既用到了公钥加密技术又用到了对称加密技术,TLS地握手协议非常有效地让客户和服务端之间完成相互之间地身份认证,其主要过程如下所述:
客户端向服务器传送TLS的协议的版本号、加密算法的种类,产生的随机数、以及其他服务器和客户端之间通信的各种信息。
服务端向客户端传送TLS协议的版本号、加密算法的种类、随机数以及其他相关信息,同时服务器还将客户端传送自己的证书。
客户利用服务器传过来的信息验证服务器的合法性。如果合法性没有通过,通信将断开;弱国合法性验证通过,将继续进行4。
用户随机产生一个用于后面通信的“对称密码”,然后用服务器的公钥对其加密,然后将加密后的“预主密码”传给服务器。
如果服务器要求客户的身份认证,用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器
服务器和客户端用相同的主密码,一个对称密钥用于TLS协议的安全数据通讯的加解密通信。同时在TLS通信过程中还要完成数据通信的完整性,防止数据通信中的各种变化。

CA证书的作用

CA证书顾名思义就是由CA(Certification Authority)机构发布的数字证书。要对CA证书完全理解及其作用,首先要理解SSL。SSL(security sockets layer,安全套接层)是为网络通信提供安全及数据完整性的一种安全协议。SSL3.0版本以后又被称为TLS。

SSL位于TCP与各应用层之间,是操作系统向外提供的API。SSL如何保证网络通信的安全和数据的完整性呢?就是采用了两种手段:身份认证和数据加密。首先身份认证就需要用到CA证书了。先了解CA证书具体包括哪些内容:

  • 颁发者
  • 使用者
  • 版本
  • 签名算法
  • 签名哈希算法
  • 使用者
  • 公钥
  • 指纹
  • 指纹算法
  • ……

上述中颁发者、使用者、版本等内容好理解,颁发者就是CA机构,下面会讲到。对于签名算法、签名哈希算法的理解,首先要先理解签名是什么东东?联系到实际情况,当我们向某机构提供报告时,往往在报告最后加上个人的名字,以表示该报告是我本人的。签名在网络通讯中的应用称为数字签名,当服务器向客户端发送信息时,会将报文生成报文摘要,同时对报文摘要进行hash计算,得到hash值,然后对hash值进行加密,然后将加密的hash值放置在报文后面,这个加密后的hash值就称为签名。服务器将报文、签名和数字证书一同发送给客户端。客户端收到这些信息后,会首先验证签名,利用签名算法对签名进行解密,得到报文摘要的hash值,然后将得到的报文生成报文摘要并利用签名hash算法生成新的hash值,通过对比这两个hash值是否一致,就能判断信息是否完整,是否是由真正的服务器发送的。可知签名有两个作用确认消息发送方可靠,确认消息完整准确。

上面提到了hash值的加密,我们还需要理解SSL的加密机制,在使用SSL的网络通讯过程中,消息在请求和响应中都是加密传送的。首先要知道加密算法分为两种:对称加密和非对称加密。对称加密就是发送双发使用相同的密钥对消息进行加解密,常见的对称加密为DES、3DES,AES等。非对称加密是发送双方各自拥有一对公钥私钥,其中公钥是公开的,私钥是保密的。当发送方向接收方发送消息时,发送方利用接收方的公钥对消息进行加密,接收方收到消息后,利用自己的私钥解密就能得到消息的明文。其中非对称加密方法有RSA、Elgamal、ECC等。此处只是简单了说明了这两种加密机制的过程,若要深入理解它们的原理、过程请搜索相应的资料,很容易搜索到。

CA证书的身份验证

好了,了解了签名原理和两种加密机制,我们继续理解网络通讯中是怎么利用CA证书进行身份认证的?客户端与服务端需要经过一个握手的过程才能完成身份认证,建立一个安全的连接。握手的过程如下:

  • 客户端访问服务器(比如:https://www.12306.cn),发送ssl版本、客户端支持的加密算法、随机数等消息。
  • 服务器向客户端发送ssl版本、随机数、加密算法、证书(证书出现了)等消息。
  • 客户端收到消息后,判断证书是否可信(如何判断可信,看下文介绍),若可信,则继续通信,发送消息包括:向服务器发送一个随机数,从证书中获取服务器端的公钥,对随机数加密;编码改变通知,表示随后信息都将使用双方协定的加密方法和密钥发送;客户端握手结束通知。
  • 服务器端对数据解密得到随机数,发送消息:编码改变通知,表示随后信息都将使用双方协定的加密方法和密钥发送。

以上就是整个握手的过程,在第三步实际上就完成了身份的认证,第四、五步是进行密钥的商定,因为非对称加密算法对数据加密非常慢,效率低,而对称加密加密效率很高,因此在整个握手过程要生成一个对称加密密钥,然后数据传输中使用对称加密算法对数据加密。可知ssl整个握手过程包括身份认证、密钥商定。

来吧!展示!!

实验环境:
两台 CentOS 7.6 主机,服务器IP:20.0.0.5,客户机IP:20.0.0.6
两台机器均以安装 docker

优化机器

Server设置

[root@5centos ~]# setenforce 0
[root@5centos ~]# iptables -F
[root@5centos ~]# hostnamectl set-hostname server
[root@5centos ~]# su
[root@server ~]# systemctl start docker
[root@server ~]# vim /etc/hosts
20.0.0.5 server

客户端设置

[root@localhost ~]# setenforce 0
[root@localhost ~]# iptables -F
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# systemctl start docker
[root@client ~]# vim /etc/hosts
20.0.0.5 server

两机互ping测试

[root@client ~]# ping server
PING server (20.0.0.5) 56(84) bytes of data.
64 bytes from server (20.0.0.5): icmp_seq=1 ttl=64 time=0.710 ms
64 bytes from server (20.0.0.5): icmp_seq=2 ttl=64 time=0.413 ms
64 bytes from server (20.0.0.5): icmp_seq=3 ttl=64 time=0.408 ms
64 bytes from server (20.0.0.5): icmp_seq=4 ttl=64 time=0.381 ms
^C
--- server ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 0.381/0.478/0.710/0.134 ms

创建CA证书

服务端创建ca密钥,长度为256位;产生一个pem文件,字节大小为4096,密码为123123

[root@server ~]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................................................................................................................................................++
...................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:	##这边和下面输入 123123
Verifying - Enter pass phrase for ca-key.pem:
[root@server ~]# ls
anaconda-ks.cfg  initial-setup-ks.cfg  模板  图片  下载  桌面		##家目录里就会多一个pem文件
ca-key.pem       公共                  视频  文档  音乐

基于ca密钥创建CA证书,遵从x509标准,有限时效为1000天;指定密钥;用哈希256验证;给证书起一个标题名称“/CN=*”

[root@server ~]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:	##输入刚才创建的密码 123123
[root@server ~]# ls
anaconda-ks.cfg  ca.pem                公共  视频  文档  音乐
ca-key.pem       initial-setup-ks.cfg  模板  图片  下载  桌面

创建服务器证书

[root@server ~]# openssl genrsa -out server-key.pem
Generating RSA private key, 2048 bit long modulus
.......................................+++
......+++
e is 65537 (0x10001)

创建私钥签名

[root@server ~]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
[root@server ~]# ls
anaconda-ks.cfg  ca.pem                server.csr      公共  视频  文档  音乐
ca-key.pem       initial-setup-ks.cfg  server-key.pem  模板  图片  下载  桌面

使用ca证书与私钥证书签名

遵从x509标准,有限时效为1000天;指定密钥;用哈希256验证;借助CA证书,CA密钥,证书会由CA自动创建并输出

[root@server ~]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem  -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:	##123123
[root@server ~]# ls
anaconda-ks.cfg  ca.srl                server.csr      模板  文档  桌面
ca-key.pem       initial-setup-ks.cfg  server-key.pem  视频  下载
ca.pem           server-cert.pem       公共            图片  音乐

创建客户端证书

客户端的密钥也是由服务端帮忙生产的
生产客户端密钥

[root@server ~]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
..............++
.............................................................................................................................................................................................................................................................................................................................................................++
e is 65537 (0x10001)
[root@server ~]# ls
anaconda-ks.cfg  ca.srl                server-cert.pem  公共  图片  音乐
ca-key.pem       initial-setup-ks.cfg  server.csr       模板  文档  桌面
ca.pem           key.pem               server-key.pem   视频  下载

客户端密钥签名,需要刚刚创建的密钥签名

[root@server ~]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
[root@server ~]# ls
anaconda-ks.cfg  ca.srl                key.pem          server-key.pem  视频  下载
ca-key.pem       client.csr            server-cert.pem  公共            图片  音乐
ca.pem           initial-setup-ks.cfg  server.csr       模板            文档  桌面

创建配置文件,为了生产客户端证书

[root@server ~]# echo "extendedKeyUsage=clientAuth" > extfile.cnf
为了告诉服务端,服务端即将要开启TLS验证,让服务端开启TLS验证

签名证书,输入密码,(需要签名客户端,CA证书,CA密钥)

[root@server ~]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@server ~]# ls
anaconda-ks.cfg  cert.pem              key.pem          公共  文档
ca-key.pem       client.csr            server-cert.pem  模板  下载
ca.pem           extfile.cnf           server.csr       视频  音乐
ca.srl           initial-setup-ks.cfg  server-key.pem   图片  桌面

删除多余配置文件,并修改配置文件

[root@server ~]# rm -rf ca.srl client.csr extfile.cnf server.csr
[root@server ~]# vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

[root@server ~]# mkdir /tls
[root@server ~]# mv *.pem /t
tls/ tmp/ 
[root@server ~]# mv *.pem /tls/
[root@server ~]# ls /tls
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem
[root@server ~]# systemctl daemon-reload 
[root@server ~]# systemctl restart docker
[root@server ~]# netstat -ntap | grep 2376
tcp6       0      0 :::2376                 :::*                    LISTEN      22191/dockerd

将证书复制给客户端

[root@server tls]# scp ca.pem root@20.0.0.6:/etc/docker/	##ca文件
The authenticity of host '20.0.0.6 (20.0.0.6)' can't be established.
ECDSA key fingerprint is SHA256:2A2lZNbKvepBrXabSygRIwVfMeu4F3N6ITcpsFu2yj8.
ECDSA key fingerprint is MD5:9d:30:1f:ba:ce:01:88:88:1c:68:80:c1:c9:3d:79:83.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '20.0.0.6' (ECDSA) to the list of known hosts.
root@20.0.0.6's password: 
ca.pem                                           100% 1765   752.5KB/s   00:00 
[root@server tls]# scp cert.pem root@20.0.0.6:/etc/docker/	##cert 文件
root@20.0.0.6's password: 
cert.pem                                         100% 1655   790.7KB/s   00:00 
[root@server tls]# scp key.pem root@20.0.0.6:/etc/docker/
root@20.0.0.6's password: 
key.pem                                          100% 3247     1.6MB/s   00:00 

客户端 查看下
[root@client ~]# cd /etc/docker/
[root@client docker]# ls
ca.pem  cert.pem  key.json  key.pem

客户端验证可以使用服务端的docker

服务器先下载个镜像

[root@server tls]# docker pull httpd
[root@server tls]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
httpd               latest              417af7dc28bc        11 days ago         138MB

客户机查看

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem --tlscert=cert.pem -H tcp://server:2376 images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
httpd               latest              417af7dc28bc        11 days ago         138MB
[root@client docker]# docker --tlsverify --tlscacert ca.pem --tlskey key.pem --tlscert cert.pem -H tcp://server:2376 images	##两种格式都可

REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
httpd               latest              417af7dc28bc        11 days ago         138MB

[root@client docker]# docker --tlsverify --tlscacert ca.pem --tlskey key.pem --tlscert cert.pem -H tcp://server:2376 run -it httpd bash	##创建一个容器
root@f2cb4ecb16a9:/usr/local/apache2# 
root@f2cb4ecb16a9:/usr/local/apache2# 
root@f2cb4ecb16a9:/usr/local/apache2# pwd  
/usr/local/apache2

服务端查看

[root@server tls]# docker ps -a
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
f2cb4ecb16a9        httpd               "bash"              45 seconds ago      Up 44 seconds       80/tcp              objective_hellman

这样将相对应的证书复制到对方节点上就可以实现客户端和服务端容器的互通,实验结束

Ora.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用wireshark观察SSL/TLS握手过程--双向认证/单向认证
NowOrNever
11-11 6万+
SSL/TLS握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程。 这个过程实际上产生三个随机数:client random, server random, pre-master secret。 前两个随机数都是明文传送的,只有pre-master secret是加密的(RSA或者DH)。 一般生成证书的时候,签名算法可以选择RSA或者DSA算法。 如果server使用RSA证书,RSA即可以用作签名也可以用作不对称加密,pre-master secret就是用server的RSA证书中包含的公
https 单向认证过程_HTTPS单向认证配置流程(Let's Encrypt生成证书)
weixin_39950812的博客
12-29 184
1.需要将设备的ip和域名绑定,绑定效果图如下(记得实名认证)2.登录服务器,安装git(本人服务器版本 centos 7.2)2.1 yum install git如发生如下异常解决方法:# rm -r /var/run/yum.pid# rm:是否删除 一般文件 “/var/run/yum.pid”? y到这里就可以了(下面的命令我没有用,用了报错)# /sbin/service yum-up...
HTTPS单双向认证流程详解与联想
最新发布
2401_84466316的博客
05-29 1563
理解HTTPS协议的认证流程,可以增加对安全的理解,HTTPS认证的过程,核心思想与Kerberos协议的认证也是互通的,是具有相似性的。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取。
深入理解https进行SSL单向认证的全过程
陕西省数字认证中心
06-28 618
HTTPS是如何进行SSL单向认证的?带着这个问题我们来了解HTTPS原理:HTTPS是工作于SSL层之上的HTTP协议,SSL(安全套接层)工作于TCP层之上,向应用层提供了两个基本安全服务:认证和保密。SSL有三个子协议:握手协议,记录协议和警报协议。其中握手协议实现服务器与客户端的认证与密钥交换,记录协议进行数据加密并保证数据的完整性,警报协议则规定了错误类型和处理机制。客户端通信过程1.客户端向服务器请求HTTPS连接2.服务器确认并返回证书(证书含有公钥)3.客户端验证服务器发来的证书4.确认成功
这么理解TLS协议,以及TLS协议的握手过程
吴就业
05-29 4415
如今HTTPS已被广泛使用,但作为程序员的我们,真的理解这个'S'了吗?如果还没有,这篇入门级介绍或许能帮到你。在TLS(更早期的版本是SSL)出现之前,很多公司为了保证自家产品客户端与服务端信令交互数据安全,或通过基于TCP协议,自定义支持加解密的二进制应用协议(用于APP),或通过加密HTTP协议请求&响应的Body以确保数据安全。无论哪种,通常都是采用对称加...
关于docker安全之Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
使用TLS加密通讯远程连接Docker的示例详解
01-20
为了确保远程访问Docker守护程序的安全性,可以启用Transport Layer Security (TLS) 加密。本教程将详细介绍如何配置TLS,以便安全地通过网络远程连接到Docker。 首先,我们需要创建一个证书颁发机构(CA)证书目录...
docker Portainer
08-21
此外,可以通过 TLS/SSL 进行加密通信,以增强安全性。 3. **多主机管理**:Portainer 可以管理多个 Docker 主机,包括 Swarm 集群,使得用户在一个界面下就能统一管理分布式环境。 4. **轻量级**:Portainer 自身...
使用portainer连接远程docker的教程
09-29
Portainer是一个轻量级的docker环境管理UI,可以用来管理docker宿主机和docker swarm集群,这篇文章主要介绍了使用portainer连接远程docker的方法,需要的朋友可以参考下
SSL/TLS单向认证和双向认证介绍
网络资源是无限的
06-19 1万+
为了便于理解SSL/TLS的单向认证和双向认证执行流程,这里先介绍一些术语。 1. 散列函数(Hash function):又称散列算法、哈希函数,是一种从任何一种数据中创建小的数字”指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来。该函数将数据打乱混合,重新创建一个叫做散列值(hash values, hash codes, hash sums)的指纹。散列值通常用一个短的随机字母和数字组成的字符串代表。好的散列函数在输入域中很少出现散列冲突。 散列函数的工作原理如下
gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器
Mr_XiMu的博客
05-23 4479
gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器
SSL/TLS认证握手过程
团长的专栏
05-23 2821
client读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应 CA的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法。客户端会内置信任CA的证书信息(包含公钥),如果CA不被信任,则找不到对应 CA的证书,证书也会被判定非法。哈,有人的地方就有江湖,有江湖的地方就没有绝对的安全。但SSL/TLS确实可以极大程度保证信息安全。签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用 CA的私钥对信息摘要进行加密,密文即签名。
SSL单向验证握手详解
liaoyaonline的博客
10-13 602
SSL单向验证握手详解 SSL单向验证 握手阶段主要解决两个问题,第一个就协议算法达成一致。第二个是生成一个只有双方知道的加密密钥(对称) 密钥导出函数,在确定协议通信协议的时候也确定了密钥导出函数,SSLTLS的密钥导出函数是不同的。但大致都是根据三个输入数据得到一个输出数据作为对称密钥。 握手流程图 握手步骤详解 简单来说,SSL单向验证握手总共以下几步: client_hello-> 发出通信请求,将自己的支持的算法套件列表发给server,发送随机数A,用于后续密钥计算。 &
HTTPS的过程分析
yrx0619的专栏
10-26 290
最近被问到HTTPs的过程发现,虽然懂一些但是并不是能非常清楚的描述它的完整过程,查询了许多信息之后总算了解了其中的详细过程。学习的过程是一个把别人的东西变成自己的东西。所以,在这里用自己的话描述一下,其中有纰漏的地方还请各位大神指正。 既然是web服务的过程,那自然首先是从浏览器先发起访问 浏览器发起HTTPs的访问 client_hello: 首先浏览器访问https服务器,会发送自己一些
fiddler https 抓包
男儿当自强
07-26 1万+
原理 fiddler抓包原理 fiddler 调试器注册到操作系统因特网服务中,系统所有的网络请求都会走fiddler的代理,所以fiddler才能抓包。 Debug traffic from any client and browser  Fiddler helps you debug traffic from any browser: Internet Explorer
fiddler pc https 抓包
热门推荐
wangjun5159的专栏
08-13 5万+
原理fiddler抓包原理fiddler 调试器注册到操作系统因特网服务中,系统所有的网络请求都会走fiddler的代理,所以fiddler才能抓包。 Debug traffic from any client and browser Fiddler helps you debug traffic from any browser: Internet Explorer, Chrome, F
Fiddler抓取https史上最强教程
jj2772367224的博客
03-22 2347
对于想抓取HTTPS的测试初学者来说,常用的工具就是fiddler。但是初学时,大家对于fiddler如何抓取HTTPS难免走歪路,也许你一步步按着网上的帖子成功了,这自然是极好的。但也有可能没那么幸运,这时候你就会很抓狂。为此我把一些我自己的安装经验和网络上的教程进行了整合(其中注意事项及10、11步骤)。下面为大家演示如何用fiddler抓取HTTPS的详细教程。如若失败,请先仔细检查,避免错过细节!然后重新重试!
fiddler模拟器抓包A SSLv3-compatible ClientHello handshake was found
m0_60149877的博客
03-19 452
手机-》设置-》通用-》关于手机,滑动最下边,点击"证书信任设置",针对证书启用完全信任,打开对应证书。ios手机已安装证书,抓包依然不成功,解决方案。
docker vnc 加密
11-15
Docker VNC是一种通过VNC协议远程访问Docker容器的方法。为了保证安全性,可以使用SSL/TLS加密来保护VNC连接。下面是一个使用SSL/TLS加密Docker VNC容器的例子: 1.创建一个自签名的SSL证书 ```shell openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes ``` 2.创建一个Dockerfile文件 ```dockerfile FROM consol/centos-xfce-vnc # 安装openssl RUN yum install -y openssl # 复制证书到容器中 COPY cert.pem /root/.vnc/ COPY key.pem /root/.vnc/ # 设置VNC密码 RUN echo "password" | vncpasswd -f > /root/.vnc/passwd && \ chmod 600 /root/.vnc/passwd # 启动VNC服务 CMD ["/startup.sh", "--wait"] ``` 3.构建Docker镜像 ```shell docker build -t my-vnc . ``` 4.运行Docker容器 ```shell docker run -d -p 5901:5901 my-vnc ``` 现在,你可以使用VNC客户端连接到Docker容器的5901端口,并使用刚才设置的密码进行登录。由于SSL/TLS加密,你的连接将会更加安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值