啃Docker之TLS加密通讯部署

最新推荐文章于 2024-05-05 18:08:20 发布
最新推荐文章于 2024-05-05 18:08:20 发布
阅读量188 收藏 1
点赞数 1
分类专栏: Docker 文章标签: docker tls 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47219942/article/details/108805033
版权

啃Docker之TLS加密通讯部署

一:Docker-TLS加密通讯部署

1.1:什么是TLS?有什么作用?

  • TLS(Transport Layer Security Protocol):传输层安全性协议,其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。

  • TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连线,防止在交换数据时受到窃听及篡改

  • TLS的最大优势就在于:TLS是独立与应用协议。高层协议可以透明地分布在TLS协议上面。然后,TLS标准并没有规定应用程序如何在TLS上增加安全性;它如何启动TLS握手协议以及如何解释交换地认证证书地决定权留给协议的设计者和实施者来判断

  • TLS的主要增加内容,TLS的主要目标是使SSL更安全,并是协议的规范更加精确和完善。TLS在SSL v3.0的基础上,提供了以下增加内容:

     1.更加安全的MAC算法
 2.更加严密的警报
 3.“灰色区域”的规范更加明确

1.2:为什么要使用TLS加密?

  • 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。

1.3:TLS对于安全性的改进

1.对于消息认证使用密钥散列法:TLS使用“消息认证代码的密钥散列法”(HMAC),当记录在开放的网络,比如internet上传送时,该代码确保记录不会被变更。SSLv3.0还提供给键控消息认证,但是HMAC比SSLv3.0使用(消息认证代码)MAC功能更加安全。	
2.增强的伪随机功能(PRF):PRF生成密钥数据。在TLS中,HMAC定义PRF。PRF使用两种散列算法保证其安全性。如果任一算法暴露了,只要第二种算法未暴露,则数据仍然是安全的。	
3.改进的已完成消息验证:TLS和SSLv3.0都对两个端点提供已完成的消息,该消息认证交换的消息没有被变更。然而,TLS将此已完成消息基于PRF和HMAC值之上,这也比SSLv3.0更安全。	
4.一致证书处理:与SSLv3.0不同,TLS试图指定必须在TLS之间实现交换的证书类型。	
5.特定警报消息:TLS提供更多的特定和附加警报,以指示任一会话端点检测到的问题。TLS还对何时应该发送某些警报进行记录。

1.4:在Docker中部署TLS

  • 环境
    在公司的docker业务中,一般为了防止链路劫持、会话劫持等问题导致docker通信时被中间人攻击,c/s两端应该通过加密方式通讯
主机名 IP地址 部署的服务
server 20.0.0.51 docker-ce
client 20.0.0.54 docker-ce

  • 流程
    秘钥key—> 身份前面csr---->(服务器/客户端) (结合ca.pem) 制作证书pem

  • 开局优化

[root@localhost ~]# hostnamectl set-hostname server	'两台主机修改主机名'
[root@localhost ~]# su
[root@server ~]# 
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# 
[root@server ~]# cat >> /etc/hosts << EOF	'修改本地主机解析文件'
> 192.168.233.128 server
> 192.168.233.129 client
> EOF
[root@client ~]# cat >> /etc/hosts << EOF
> 192.168.233.128 server
> 192.168.233.129 client
> EOF
[root@client ~]# ping server	'是可以互通的'
[root@server ~]# ping client
  • server服务器创建CA密码与CA证书
[root@server ~]# mkdir TLS
[root@server ~]# cd TLS/
[root@server TLS]# openssl genrsa -aes256 -out ca-key.pem 4096	'使用rsa非对称秘钥,位数256位,-out 输出密钥文件ca-key.pem'
Generating RSA private key, 4096 bit long modulus
...........................................................................................................................
最低0.47元/天 解锁文章
Kevin古月
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于:TLS 1.2 部署指南(2)- Windows 系统中的 TLS
老陈醋的博客
01-06 1341
关于:TLS 1.2 部署指南(2)- Windows 系统中的 TLS
redis6.2 使用 TLS部署(三种高可用模式)
weixin_45444133的博客
11-19 3726
redis6.2 使用 TLS部署"三种高可用模式"安装redis6.2 并启用TLS加密安装创建TLS证书编写配置文件systemd管理测试连接redis 主从 配置 tls安装拷贝master 证书 到 slave编写配置文件systemd管理验证主从服务sentinel 哨兵服务创建目录、配置文件systemd管理查看sentinel 状态redis cluster 分片集群TLS安装规划目录及证书编写配置文件创建cluster 集群验证cluster 集群 安装redis6.2 并启用TLS加密
Docker远程访问安全问题与TLS配置并通过IDEA连接
qq_52726195的博客
05-05 743
保存ca.pem、cert.pem、key.pem、server-cert.pem、server-key.pem这五个文件,将ca.pem、server-cert.pem、server-key.pem保存至服务器自定义位置。将ca.pem、cert.pem、key.pem下载保存到电脑,我保存在了D://Software/Docker/cert下。执行过程中要求输入pass phrase,输入一个自定义的密码即可,比如987654321,需要多次输入,保持一致即可。记得修改path为文件实际所在位置。
SSL/TLS部署最佳实践
weixin_33978016的博客
12-03 278
为什么80%的码农都做不了架构师?>>> ...
docker配置tls (一) 2376安全配置
lanwp5302的博客
04-17 5146
一、官方资料 官网资料 https://docs.docker.com/engine/reference/commandline/dockerd/ 创建证书步骤 官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/ 二、创建证书 生成的证书 ca-key.pem ca.pem ...
使用TLS加密通讯远程连接Docker的示例详解
01-20
通过以上步骤,Docker守护程序和客户端之间的通信将受到TLS加密的保护,防止未经授权的第三方窃听或篡改数据。这种安全配置对于在生产环境中管理和部署容器至关重要,确保了数据和资源的安全性。
Fabric Docker:多机多节点部署生产网络
06-25
9. **安全性**:在多机部署中,必须确保节点之间的通信安全,这通常通过SSL/TLS加密实现。同时,应限制网络访问,防止未授权的访问。 10. **容错与恢复**:考虑到生产环境的可靠性,应设计备份和恢复策略。如果某个...
containerized-wordpress-project:通过让我们使用Ansible和Docker加密HTTPS加密来自动部署和运行WordPress
01-31
在这个“containerized-wordpress-project...通过Ansible自动化部署Docker容器化应用,配合Let's Encrypt实现HTTPS加密,使得整个过程既高效又可靠。无论是对于开发者还是运维人员,这都是一个值得学习和实践的示例。
docker Portainer
08-21
此外,可以通过 TLS/SSL 进行加密通信,以增强安全性。 3. **多主机管理**:Portainer 可以管理多个 Docker 主机,包括 Swarm 集群,使得用户在一个界面下就能统一管理分布式环境。 4. **轻量级**:Portainer 自身...
containerized-guacamole:Apache Guacamole开箱即用Nginx反向代理,让加密进行设置。 使用Docker Compose可以轻松轻松地进行部署。 仅使用官方鳄梨酱Docker映像
05-23
带有TLS的容器中的Apache Guacamole 此Docker Compose设置非常容易(仅3个cli命令)在通过Let's Encrypt保护的NGINX反向代理TLS后面运行 。 尽管此回购协议已有3年历史,但由于使用了最新的官方图片,因此至今仍然...
关于:TLS 1.2 部署指南(4)- SQL Server 中的 TLS
老陈醋的博客
01-06 2180
关于:TLS 1.2 部署指南(4)- SQL Server 中的 TLS
TLS 配置和使用
laughing_cui的专栏
09-12 4154
TLS 配置和使用  该源代码里包含了TLS的配置和相应的证书文件。  文件夹里包含证书,pjproject中TLS的支持需要在文件config_site.h中增加预编译#define PJ_HAS_SSL_SOCK 1。(但是好像有问题,需要在H:\Projects\hsp01_dep_bin\static_library\pjproject\pjproject_inc\pj\config_
HTTPS在SSL/TLS上的使用和配置(IIS8和iOS客户端)
VictorZhang
02-09 4619
HTTPS在SSL/TLS上的使用和配置(IIS8和iOS客户端) CA证书 1.域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站;一般是免费的 2.企业型SSL证书(OV SSL):信任等级强,须要验证企业的身份,审核严格,安全性更高;收费的 3.增强型SSL证书(EV SSL):信任等级最高,一般用于银行证券等金融机构
SSL/TLS服务器配置
Zhiyu's Blog
06-26 566
Secure Sockets Layer (SSL) 和Transport Layer Security (TLS) 用于在客户端和服务器之间建立加密通信通道。JAVA通过JSSE(javax.net.ssl) , 提供了对SSL和TLS的支持。通过其所提供的一系列API,开发者可以像使用普通Socket一样使用基于SSL或TLS的安全套接字,而不用关心 SSL和TLS协议的细节,例如握手的流...
Docker容器间通信的安全问题——TLS加密通信
xwy9526的博客
12-03 578
1.隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响, 容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。 2.性能与损耗 与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的安全性要比容器稍好, 要从虚拟机攻
Docker之必备基础管理操作
m0_47219942的博客
09-20 1978
Docker之必备基础管理操作前言一:环境准备二:镜像的常规操作三:容器的常规操作 前言 对于理论可以看我之前的博客 链接: https://blog.csdn.net/m0_47219942/article/details/108684100. 一:环境准备 关闭防火墙和核心防护 [root@localhost yum.repos.d]# systemctl stop firewalld.service [root@localhost yum.repos.d]# setenforce 0 [ro
DockerDocker资源控制(Cgroup资源配置方法)
m0_47219942的博客
09-25 1795
DockerDocker资源控制(Cgroup资源配置方法)前言一:Cgroup资源分配1.1:为什么容器要做资源分配?1.2:Cgroup概述1.2:使用stress压力测试工具来测试CPU和内存使用状况1.2.1:stress工具介绍1.2.2:操作步骤二:CPU的周期限制2.1:操作步骤三:CPU Core控制3.1:实操步骤四:CPU配额控制参数的混合使用4.1:实操步骤五:内存限额5.1:实操步骤六:Block IO的限制6.1:实操步骤七:bps和iops的限制7.1:实操步骤 前言 默认情
Docker之四种网络模式
m0_47219942的博客
09-22 1496
Docker之四种网络模式四种网络模式实现原理Host模式Container模式None模式Bridge模式 四种网络模式 Docker网络模式 配置 说明 host模式 –net=host 容器和宿主机共享Network namespace container模式 –net=container:NAME_or_ID 容器和另外一个容器共享Network namespace。 kubernetes中的pod就是多个容器共享一个Network namespace none模式 –ne
docker swarm部署环境
最新发布
06-06
Docker Swarm 是 Docker 官方提供的容器编排工具,它使得在多个 Docker 服务器上管理和协调容器应用变得简单。Swarm 部署环境通常包括以下几个关键组件: 1. **Swarm Manager**:Swarm 中的核心节点,负责集群的管理、任务调度以及状态同步。至少需要一个 Manager 节点来初始化和运行集群。 2. **Worker Nodes**:执行实际容器任务的节点。它们可以是物理机器或虚拟机,需要安装 Docker 并加入到 Swarm 中。 3. **网络**:Swarm 需要一个共享的网络连接,以确保容器之间的通信。这可以通过 Docker 内置的 overlay network 或者外部网络实现。 4. **认证与授权**:为了安全,Swarm 会使用 TLS 加密进行通信,并且支持身份验证,例如通过 swarm ca(证书颁发机构)和 swarm token。 5. **Docker客户端**:开发者或运维人员通常使用 Docker CLI 或 Docker Desktop 进行与 Swarm 的交互,如创建服务、部署应用等。 部署步骤概览: 1. **安装 Docker**:确保所有节点都已安装 Docker,并且版本支持 Swarm 功能。 2. **初始化 Swarm**:在其中一个节点上运行 `docker swarm init`,创建一个新的 Swarm。 3. **加入 Worker**:其他节点通过 `docker swarm join` 命令加入到集群。 4. **创建服务**:使用 `docker service create` 创建并部署服务定义,指定资源限制和网络策略。 5. **监控与管理**:使用 Docker CLI 或者 Docker Dashboard 监控集群状态和服务性能。 相关问题: 1. 如何配置 Swarm 集群的认证? 2. Swarm 中的服务是如何部署和管理的? 3. Docker Overlay Network 在 Swarm 中的作用是什么?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值