为什么docker需要使用TLS加密通讯
- 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。
- 因为docker的容器与宿主机共享系统核心,所以如果容器被攻陷呢么宿主机将受到牵连。
TLS
TLS 全称为Transport Layer Security,意指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL Secure Sockets Layer,即安全套接字层。介于osi七层模型的应用层和传输层之间。
-
TLS协议是可选的,必须配置客户端和服务器才能使用。主要有两种方式实现这一目标:一个是使用统一的TLS协议通信端口(例如:用于HTTPS的端口443);另一个是客户端请求服务器连接到TLS时使用特定的协议机制(例如:邮件、新闻协议和STARTTLS)。一旦客户端和服务器都同意使用TLS协议,他们通过使用一个握手过程协商出一个有状态的连接以传输数据。通过握手,客户端和服务器协商各种参数用于创建安全连接:
当客户端连接到支持TLS协议的服务器要求创建安全连接并列出了受支持的密码组合(加密密码算法和加密哈希函数),握手开始。 -
服务器从该列表中决定加密和散列函数,并通知客户端。
服务器发回其数字证书,此证书通常包含服务器的名称、受信任的证书颁发机构(CA)和服务器的公钥。
客户端确认其颁发的证书的有效性。
为了生成会话密钥用于安全连接,客户端使用服务器的公钥加密随机生成的密钥,并将其发送到服务器,只有服务器才能使用自己的私钥解密。
利用随机数,双方生成用于加密和解密的对称密钥。这就是TLS协议的握手,握手完毕后的连接是安全的,直到连接(被)关闭。如果上述任何一个步骤失败,TLS握手过程就会失败,并且断开所有的连接。
为daocker部署tls加密
开始前我们先了解一下tls加密的过程
过程图如下
命令流程如下
vim /etc/hosts
master 127.0.0.1
保存退出
openssl genrsa -aes256 -out ca-key.pem 4096 #随后要输入密码 这里是12345
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pemd #随后要输入密码 这里是12345
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr #随后要输入密码 这里是12345
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
openssl genrsa -out key.pem 4096
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
echo extendedKeyUsage=clientAuth > extfile.cnf #随后要输入密码 这里是12345
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
rm -rf ca.srl client.csr extfile.cnf server.csr #删除其他不需要的临时文件
systemctl daemon-reload #重启守护进程
systemctl restart docker #重启服务以应用配置文件
scp ca.pem root@20.0.0.19:/etc/docker/ #输入客户端root账号密码
scp cert.pem root@20.0.0.19:/etc/docker/ #输入客户端root账号密码
scp key.pem root@20.0.0.19:/etc/docker/ #输入客户端root账号密码
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:4399 version #本地访问一下验证
然后切换到客户端
vim /etc/hosts
20.0.0.18 master #添加一下master的本地映射记录
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:4399 pull centos
反馈:
Using default tag: latest
latest: Pulling from library/centos
3c72a8ed6814: Pull complete
Digest: sha256:76d24f3ba3317fa945743bb3746fbaf3a0b752f10b10376960de01da70685fbd
Status: Downloaded newer image for centos:latest
docker.io/library/centos:latest
完成
命令选项注释
genrsa :使用非对称加密方式
-aes256 : Rijndael加密法256位
-out : 指定输出的文件名
-x509 : 使用国际标准x.509
-subj : 键入签名
-days : 证书有效期 1000天
-sha256 : 使用哈希算法256位