啃Docker之TLS加密通讯部署

最新推荐文章于 2024-05-05 18:08:20 发布
最新推荐文章于 2024-05-05 18:08:20 发布
阅读量215 收藏 1
点赞数 1
分类专栏: Docker 文章标签: docker tls 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47219942/article/details/108805033
版权
本文详细介绍了Docker中TLS加密通讯的必要性、作用和实现步骤,旨在提升Docker通信的安全性,防止中间人攻击。主要内容包括TLS协议的概念、为何使用TLS加密以及在Docker环境中部署TLS的流程,包括创建和分发证书等关键步骤。
摘要由CSDN通过智能技术生成

啃Docker之TLS加密通讯部署

一:Docker-TLS加密通讯部署

1.1:什么是TLS?有什么作用?

  • TLS(Transport Layer Security Protocol):传输层安全性协议,其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。

  • TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连线,防止在交换数据时受到窃听及篡改

  • TLS的最大优势就在于:TLS是独立与应用协议。高层协议可以透明地分布在TLS协议上面。然后,TLS标准并没有规定应用程序如何在TLS上增加安全性;它如何启动TLS握手协议以及如何解释交换地认证证书地决定权留给协议的设计者和实施者来判断

  • TLS的主要增加内容,TLS的主要目标是使SSL更安全,并是协议的规范更加精确和完善。TLS在SSL v3.0的基础上,提供了以下增加内容:

     1.更加安全的MAC算法
 2.更加严密的警报
 3.“灰色区域”的规范更加明确

1.2:为什么要使用TLS加密?

  • 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。

1.3:TLS对于安全性的改进

1.对于消息认证使用密钥散列法:TLS使用“消息认证代码的密钥散列法”(HMAC),当记录在开放的网络,比如internet上传送时,该代码确保记录不会被变更。SSLv3.0还提供给键控消息认证,但是HMAC比SSLv3.0使用(消息认证代码)MAC功能更加安全。	
2.增强的伪随机功能(PRF):PRF生成密钥数据。在TLS中,HMAC定义PRF。PRF使用两种散列算法保证其安全性。如果任一算法暴露了,只要第二种算法未暴露,则数据仍然是安全的。	
3.改进的已完成消息验证:TLS和SSLv3.0都对两个端点提供已完成的消息,该消息认证交换的消息没有被变更。然而,TLS将此已完成消息基于PRF和HMAC值之上,这也比SSLv3.0更安全。	
4.一致证书处理:与SSLv3.0不同,TLS试图指定必须在TLS之间实现交换的证书类型。	
5.特定警报消息:TLS提供更多的特定和附加警报,以指示任一会话端点检测到的问题。TLS还对何时应该发送某些警报进行记录。

1.4:在Docker中部署TLS

  • 环境
    在公司的docker业务中,一般为了防止链路劫持、会话劫持等问题导致docker通信时被中间人攻击,c/s两端应该通过加密方式通讯
主机名 IP地址 部署的服务
server 20.0.0.51 docker-ce
client 20.0.0.54 docker-ce

  • 流程
    秘钥key—> 身份前面csr---->(服务器/客户端) (结合ca.pem) 制作证书pem

  • 开局优化

[root@localhost ~]# hostnamectl set-hostname server	'两台主机修改主机名'
[root@localhost ~]# su
[root@server ~]# 
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# 
[root@server ~]# cat >> /etc/hosts << EOF	'修改本地主机解析文件'
> 192.168.233.128 server
> 192.168.233.129 client
> EOF
[root@client ~]# cat >> /etc/hosts << EOF
> 192.168.233.128 server
> 192.168.233.129 client
> EOF
[root@client ~]# ping server	'是可以互通的'
[root@server ~]# ping client
  • server服务器创建CA密码与CA证书
[root@server ~]# mkdir TLS
[root@server ~]# cd TLS/
[root@server TLS]# openssl genrsa -aes256 -out ca-key.pem 4096	'使用rsa非对称秘钥,位数256位,-out 输出密钥文件ca-key.pem'
Generating RSA private key, 4096 bit long modulus
...........................................................................................................................
最低0.47元/天 解锁文章
Kevin古月
关注
专栏目录
关于:TLS 1.2 部署指南(2)- Windows 系统中的 TLS
老陈醋的博客
01-06 1375
关于:TLS 1.2 部署指南(2)- Windows 系统中的 TLS
Docker安全(TLS加密通讯,图文详解!)
qq_35456705的博客
03-31 518
Docker安全 文章目录Docker安全一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化1)Docker remote api 访问控制2)限制流量流向3)镜像安全4)Docker-TLS加密通讯 一、Docker 容器与虚拟机的区别 1.隔离与共享 虚拟机
redis6.2 使用 TLS部署(三种高可用模式)
weixin_45444133的博客
11-19 4106
redis6.2 使用 TLS部署"三种高可用模式"安装redis6.2 并启用TLS加密安装创建TLS证书编写配置文件systemd管理测试连接redis 主从 配置 tls安装拷贝master 证书 到 slave编写配置文件systemd管理验证主从服务sentinel 哨兵服务创建目录、配置文件systemd管理查看sentinel 状态redis cluster 分片集群TLS安装规划目录及证书编写配置文件创建cluster 集群验证cluster 集群 安装redis6.2 并启用TLS加密
SSL/TLS部署最佳实践
weixin_33978016的博客
12-03 299
为什么80%的码农都做不了架构师?>>> ...
SSL/TLS深度解析--在 Nginx 上部署 TLS
weixin_33770878的博客
11-26 3378
利用 openssl 源代码安装 Nginx [root@localhost software]# tar xf nginx-1.15.5.tar.gz [root@localhost software]# cd nginx-1.15.5/ [root@localhost nginx-1.15.5]# groupadd nginx [root@localhost nginx-1.15.5]# u...
docker配置tls (一) 2376安全配置
lanwp5302的博客
04-17 5208
一、官方资料 官网资料 https://docs.docker.com/engine/reference/commandline/dockerd/ 创建证书步骤 官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/ 二、创建证书 生成的证书 ca-key.pem ca.pem ...
Docker吗?Docker安全之TLS通讯加密部署
CN_TangZheng的博客
04-30 498
TLS(Transport Layer Security Protocol):传输层安全性协议,其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。
Docker-TLS加密通讯——生产环境
weixin_45724795的博客
04-26 312
前言:为了防止链路劫持、会话劫持等问题导致Docker通信时被中间人攻击,c/s两端应该通过加密方式通讯 文章目录一、部署1.环境部署2.部署tls3.client操作4.验证总结 一、部署 一台做服务端tls。一台做客户端client 1.环境部署 [root@promote ~]# hostnamectl set-hostname master [root@promote ~]# su [...
docker安全---Docker-TLS加密通讯
weixin_51725822的博客
04-02 230
docker安全---Docker-TLS加密通讯一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化六、Docker remote api 访问控制七、限制流量流向八、镜像安全九、Docker-TLS加密通讯1、创建ca密钥2、创建ca证书3、创建服务器私钥4、
Docker远程访问安全问题与TLS配置并通过IDEA连接
最新发布
qq_52726195的博客
05-05 805
保存ca.pem、cert.pem、key.pem、server-cert.pem、server-key.pem这五个文件,将ca.pem、server-cert.pem、server-key.pem保存至服务器自定义位置。将ca.pem、cert.pem、key.pem下载保存到电脑,我保存在了D://Software/Docker/cert下。执行过程中要求输入pass phrase,输入一个自定义的密码即可,比如987654321,需要多次输入,保持一致即可。记得修改path为文件实际所在位置。
关于:TLS 1.2 部署指南(4)- SQL Server 中的 TLS
老陈醋的博客
01-06 2276
关于:TLS 1.2 部署指南(4)- SQL Server 中的 TLS
HTTPS在SSL/TLS上的使用和配置(IIS8和iOS客户端)
VictorZhang
02-09 4659
HTTPS在SSL/TLS上的使用和配置(IIS8和iOS客户端) CA证书 1.域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站;一般是免费的 2.企业型SSL证书(OV SSL):信任等级强,须要验证企业的身份,审核严格,安全性更高;收费的 3.增强型SSL证书(EV SSL):信任等级最高,一般用于银行证券等金融机构
TLS 配置和使用
laughing_cui的专栏
09-12 4205
TLS 配置和使用  该源代码里包含了TLS的配置和相应的证书文件。  文件夹里包含证书,pjproject中TLS的支持需要在文件config_site.h中增加预编译#define PJ_HAS_SSL_SOCK 1。(但是好像有问题,需要在H:\Projects\hsp01_dep_bin\static_library\pjproject\pjproject_inc\pj\config_
SSL/TLS服务器配置
Zhiyu's Blog
06-26 593
Secure Sockets Layer (SSL) 和Transport Layer Security (TLS) 用于在客户端和服务器之间建立加密通信通道。JAVA通过JSSE(javax.net.ssl) , 提供了对SSL和TLS的支持。通过其所提供的一系列API,开发者可以像使用普通Socket一样使用基于SSL或TLS的安全套接字,而不用关心 SSL和TLS协议的细节,例如握手的流...
Docker容器间通信的安全问题——TLS加密通信
xwy9526的博客
12-03 613
1.隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响, 容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。 2.性能与损耗 与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的安全性要比容器稍好, 要从虚拟机攻
Docker之必备基础管理操作
m0_47219942的博客
09-20 2018
Docker之必备基础管理操作前言一:环境准备二:镜像的常规操作三:容器的常规操作 前言 对于理论可以看我之前的博客 链接: https://blog.csdn.net/m0_47219942/article/details/108684100. 一:环境准备 关闭防火墙和核心防护 [root@localhost yum.repos.d]# systemctl stop firewalld.service [root@localhost yum.repos.d]# setenforce 0 [ro
DockerDocker资源控制(Cgroup资源配置方法)
m0_47219942的博客
09-25 1824
DockerDocker资源控制(Cgroup资源配置方法)前言一:Cgroup资源分配1.1:为什么容器要做资源分配?1.2:Cgroup概述1.2:使用stress压力测试工具来测试CPU和内存使用状况1.2.1:stress工具介绍1.2.2:操作步骤二:CPU的周期限制2.1:操作步骤三:CPU Core控制3.1:实操步骤四:CPU配额控制参数的混合使用4.1:实操步骤五:内存限额5.1:实操步骤六:Block IO的限制6.1:实操步骤七:bps和iops的限制7.1:实操步骤 前言 默认情
Docker之四种网络模式
m0_47219942的博客
09-22 1537
Docker之四种网络模式四种网络模式实现原理Host模式Container模式None模式Bridge模式 四种网络模式 Docker网络模式 配置 说明 host模式 –net=host 容器和宿主机共享Network namespace container模式 –net=container:NAME_or_ID 容器和另外一个容器共享Network namespace。 kubernetes中的pod就是多个容器共享一个Network namespace none模式 –ne
DockerDockerfile镜像制作(构建SSHD镜像、Systemctl镜像、Nginx镜像、Tomcat镜像、Mysql镜像以及删除none镜像)
m0_47219942的博客
09-21 1295
DockerDockerfile镜像制作(构建SSHD镜像、systemctl镜像、nginx镜像、tomcat镜像以及删除none镜像)一:Dockerfile常用命令二:使用Dockerfile构建镜像2.1:构建SSHD镜像2.2:构建Systemctl镜像2.3:构建Nginx镜像2.4:构建Tomcat镜像2.5:删除none镜像 一:Dockerfile常用命令 指令 含义 FROM 镜像 指定新镜像所基于的镜像,第一条指令必须为FROM指令, 每创建一个镜像就需要一条FRO
Docker安全深度解析:TLS加密与通信风险
本文主要探讨了Docker的安全问题及其解决方案,特别是Docker-TLS加密通讯的重要性。首先,文章指出了Docker存在的两类安全问题:Docker自身的漏洞和Docker架构的缺陷。接着,详细阐述了这些问题的具体表现,如黑客...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值