Docker实验室：Swarm模式下的网络安全管理实践

Docker实验室：Swarm模式下的网络安全管理实践

labs This is a collection of tutorials for learning how to use Docker with various tools. Contributions welcome. 项目地址: https://gitcode.com/gh_mirrors/la/labs

前言

在现代分布式系统中，网络安全是至关重要的环节。Docker Swarm作为原生的容器编排工具，提供了强大的网络功能和安全机制。本文将带您深入了解Docker Swarm中的网络加密技术，通过实践操作掌握如何创建加密网络并理解其工作原理。

实验环境准备

在开始实验前，请确保您已具备以下条件：

• 至少两台运行Docker 1.13或更高版本的Linux主机，并已配置为同一个Swarm集群
• 集群中至少包含一个管理节点和一个工作节点
• 推荐使用Ubuntu 16.04和Docker 17.03.0-ce版本

实验目标

通过本实验，您将学习到：

1. 如何创建加密的overlay网络
2. 理解Swarm模式下网络传播机制
3. 服务部署与网络加密的关系
4. 清理实验环境的正确方法

实验步骤详解

第一步：创建加密overlay网络

在Docker Swarm中，overlay网络默认会对控制平面流量进行加密，但数据平面流量需要显式配置才会加密。

1. 创建基础overlay网络

在管理节点上执行以下命令创建名为net1的基础overlay网络：

docker network create -d overlay net1

创建完成后，使用docker network inspect net1命令检查网络配置。您会注意到输出结果中没有"encrypted"标志，这表示该网络仅加密控制平面流量（如Swarm管理通信），而数据平面流量（应用数据）不加密。

2. 创建全加密overlay网络

接下来创建第二个网络net2，这次添加加密选项：

docker network create -d overlay --opt encrypted net2

再次使用inspect命令检查网络配置，现在您会在Options部分看到"encrypted"标志，表明该网络会对所有流量（包括数据平面）进行加密。

技术要点：

• 控制平面加密：默认开启，用于Swarm节点间的管理通信
• 数据平面加密：需要显式启用，使用AES算法加密VXLAN流量
• 加密会带来约10%的性能开销，需根据安全需求权衡

第二步：网络传播机制观察

Docker采用"惰性传播"策略管理网络，这是Swarm模式的重要安全特性。

1. 管理节点网络列表

在管理节点执行：

docker network ls

您会看到所有已创建的网络，包括net1和net2。这是因为管理节点需要维护整个集群的状态。

2. 工作节点网络列表

切换到工作节点执行相同命令，您会发现net1和net2网络尚未出现。这是因为：

• 工作节点只有在需要时才会获取网络信息
• 这种设计减少了不必要的网络控制平面通信
• 提高了集群的可扩展性和安全性

安全优势：

• 最小权限原则：工作节点只获取必需的信息
• 减少攻击面：未使用的网络不会暴露给不相关节点
• 降低资源消耗：减少网络同步带来的开销

第三步：服务部署与网络传播

现在我们将验证网络如何随着服务部署而传播。

1. 部署加密网络服务

在管理节点执行：

docker service create --name service1 \
--network=net2 --replicas=4 \
alpine:latest sleep 1d

这里我们：

• 创建名为service1的服务
• 指定使用net2加密网络
• 部署4个副本确保覆盖所有节点
• 使用alpine镜像执行简单的sleep命令

2. 验证网络传播

等待服务稳定运行后（可通过docker service ls检查），再次在工作节点执行docker network ls。此时net2网络将出现在列表中，因为该节点现在运行着需要使用此网络的服务任务。

深入理解：

• 网络信息是按需传播的
• 服务调度触发网络同步
• 加密网络特性随网络配置一起传播
• 节点离开集群时，相关网络配置会自动清理

第四步：实验环境清理

完成实验后，应当正确清理资源。

1. 删除服务

docker service rm service1

服务删除后，相关网络会自动从不再需要它的工作节点上移除。

2. 删除网络

docker network rm net1 net2

最佳实践：

• 先删除服务再删除网络
• 确保没有资源依赖后再删除网络
• 定期清理不再使用的网络资源

安全建议

1. 生产环境加密：对于敏感数据，始终启用数据平面加密
2. 网络隔离：不同安全级别的服务使用不同网络
3. 最小权限：只给服务分配必要的网络访问权限
4. 定期审计：检查网络配置和加密状态
5. 性能监控：评估加密带来的性能影响

总结

通过本实验，我们深入理解了Docker Swarm的网络加密机制和传播策略。关键收获包括：

1. Docker提供了灵活的网络加密选项
2. Swarm采用智能的网络传播机制提高安全性
3. 网络配置与服务部署紧密相关
4. 正确的资源清理同样重要

这些知识将帮助您构建更安全、高效的容器化应用环境。建议在实际工作中根据具体需求选择合适的网络加密策略。

labs This is a collection of tutorials for learning how to use Docker with various tools. Contributions welcome. 项目地址: https://gitcode.com/gh_mirrors/la/labs