docker 配置安全访问

最新推荐文章于 2025-03-29 12:15:20 发布
最新推荐文章于 2025-03-29 12:15:20 发布
阅读量965 收藏
点赞数
分类专栏: docker # 工作经验 # linux 文章标签: docker tls ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22211217/article/details/121802889
版权

一 前言

  1. 实验机器腾讯云centos7
  2. docker启用远程管理端口默认没有ssl,容易被当作矿机使用。所以可以启用ca签发证书来加密客户端和服务端。
  3. docker版本
Client: Docker Engine - Community
 Version:           20.10.0
 API version:       1.41
 Go version:        go1.13.15
 Git commit:        7287ab3
 Built:             Tue Dec  8 18:55:43 2020
 OS/Arch:           darwin/amd64
 Context:           default
 Experimental:      true

Server: Docker Engine - Community
 Engine:
  Version:          20.10.11
  API version:      1.41 (minimum version 1.12)
  Go version:       go1.16.9
  Git commit:       847da18
  Built:            Thu Nov 18 00:37:17 2021
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.4.12
  GitCommit:        7b11cfaabd73bb80907dd23182b9347b4245eb5d
 runc:
  Version:          1.0.2
  GitCommit:        v1.0.2-0-g52b36a2
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0

二 准备

1. yum

# yum 更新
yum update
# yum 查找包
yum list [包名] --showduplicates | sort -r 
# yum 安装包
yum install [包名] 
# yum 卸载包
yum remove [包名]

2. docker

# dockerd 服务端
dockerd 
--tlsverify                    # 是否启用tls
--tlscacert=ca.pem             # ca证书公钥
--tlscert=server-cert.pem      # ca签发服务端公钥
--tlskey=server-key.pem        # 服务端私钥
-H tcp://0.0.0.0:2375          # 开放管理ip:prot   
-H unix:///var/run/docker.sock # 绑定进程

# docker 客户端
docker 
-H=www.marsareas.top:2375   # 目标服务器ip:prot  默认连接本地docker
--tlsverify=true            # 使用tls
--tlscacert=ca.pem          # ca证书公钥
--tlscert=cert.pem          # ca签发客户端公钥
--tlskey=key.pem            # 客户端私钥
[option]                    # 其他命令。例如 version

# dockerd 重载配置
systemctl daemon-reload
# docker服务重启
systemctl restart docker
# docker服务暂停
systemctl stop docker
# docker服务状态
systemctl status docker

3.filewail

腾讯云请注意服务器的访问安全策略,可能需要界面二次添加访问入口(流量出口不需要)

# 添加防火墙开放端口
sudo firewall-cmd --zone=public --add-port=21/tcp --permanent
# 移除防火墙开放端口
sudo firewall-cmd --zone=public --remove-port=21/tcp --permanent
# 防火墙重启
sudo firewall-cmd --reload

三 配置tls

step1 生成ca证书和签发docker客户端和服务端证书

# 选择证书目录
mkdir /Users/{主机名}/ssl
cd /Users/{主机名}/ssl

# !/bin/bash
# 一键生成TLS和CA证书
# Create : 2021-12-08
# Update : 2021-12-08
# @Autor : zyj

# 服务器主机名
export SERVER="请输入主机名 or 域名 or ip"
# 密码
export PASSWORD="ca签发密码"
# 证书有效时间
export DAYS=365


# 1. 生成CA证书
# 1.1 生成CA密钥
openssl genrsa -aes256 -passout pass:$PASSWORD  -out ca-key.pem 2048
# 1.2 生成CA证书
openssl req -new -x509 -passin "pass:$PASSWORD" -days $DAYS -key ca-key.pem -sha256 -out ca.pem -subj "/CN=$SERVER"

# 2. 签发服务端TLS证书
# 2.1 生成服务端密钥
openssl genrsa -out server-key.pem 2048
# 2.2 ca签发服务端证书
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server.csr 
openssl x509 -req -days $DAYS -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial -out server-cert.pem

# 3. 签发客户端TLS证书
# 3.1 生成客户端密钥
openssl genrsa -out key.pem 2048
# 3.2 ca签发客户端证书
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
sh -c 'echo "extendedKeyUsage=clientAuth" >> extfile.cnf'
openssl x509 -req -days $DAYS -in client.csr -CA ca.pem -CAkey ca-key.pem  -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem -extfile extfile.cnf

# 4,整理文件
# 4.1 添加权限
chmod 0444 ca-key.pem server-key.pem key.pem
chmod 0444 ca.pem server-cert.pem cert.pem
# 4.2 打印文件信息
ls -la

结果

 zyj@yujingzhengdeMacBook-Pro  ~/Users/zyj/ssl  sh ./generator.sh
Generating RSA private key, 2048 bit long modulus (2 primes)
.....................+++++
..............................................................................+++++
e is 65537 (0x010001)
Generating RSA private key, 2048 bit long modulus (2 primes)
.......................+++++
....................+++++
e is 65537 (0x010001)
Signature ok
subject=CN = 请输入主机名 or 域名 or ip
Getting CA Private Key
Generating RSA private key, 2048 bit long modulus (2 primes)
...........+++++
......................................+++++
e is 65537 (0x010001)
Signature ok
subject=CN = client
Getting CA Private Key
total 104
drwxr-xr-x  14 zyj  staff   448 12  8 23:46 .
drwxr-xr-x   8 zyj  staff   256 12  8 23:08 ..
-rw-r--r--@  1 zyj  staff  6148 12  8 23:46 .DS_Store
-r--r--r--   1 zyj  staff  1766 12  8 23:46 ca-key.pem   # ca密钥
-r--r--r--   1 zyj  staff  1135 12  8 23:46 ca.pem       # ca证书
-rw-r--r--   1 zyj  staff    41 12  8 23:46 ca.srl       # 无用     
-r--r--r--   1 zyj  staff  1038 12  8 23:46 cert.pem     # ca签发客户端证书
-rw-r--r--   1 zyj  staff   887 12  8 23:46 client.csr   # 无用
-rw-r--r--   1 zyj  staff    28 12  8 23:46 extfile.cnf  # 无用
-rwxrwxrwx@  1 zyj  staff  1428 12  8 23:46 generator.sh 
-r--r--r--   1 zyj  staff  1675 12  8 23:46 key.pem      # 客户端密钥
-r--r--r--   1 zyj  staff  1013 12  8 23:46 server-cert.pem # ca签发服务端证书
-r--r--r--   1 zyj  staff  1675 12  8 23:46 server-key.pem  # 服务端密钥
-rw-r--r--   1 zyj  staff   903 12  8 23:46 server.csr  # 无用

step2 配置docker服务端证书

上传证书

# 1 建立ssl证书目录
mkdir  -p /usr/local/ssl/docker
# 2 上传服务端证书 密钥 和ca证书
rz 
ca.pem server-cert.pem server-key.pem

配置dockerd使用证书

# 1 备份配置
cp /usr/lib/systemd/system/docker.service /usr/lib/systemd/system/docker.service.back
# 2 修改docker使用证书
vim /usr/lib/systemd/system/docker.service
# 注释
# ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
# 添加
ExecStart=/usr/bin/dockerd \
--tlsverify \
--tlscacert=/usr/local/ssl/docker/ca.pem \
--tlscert=/usr/local/ssl/docker/server-cert.pem \
--tlskey=/usr/local/ssl/docker/server-key.pem \
-H tcp://0.0.0.0:2375
# 保存
ESC :wq ENTER

# 3 重启生效docker
systemctl daemon-reload && systemctl restart docker

# 4 开启防火墙端口
sudo firewall-cmd --zone=public --add-port=2375/tcp --permanent

# 5 防火墙重启
sudo firewall-cmd --reload

step3 配置docker客户端使用证书

方式1:环境变量

# 设置证书位置 
# 客户端证书 cert.pem  
# 客户端密钥 key.pem   
# ca证书 ca.pem       
export DOCKER_CERT_PATH=/Users/zyj/ssl/

# 设置使用TLS (使用后本地docker无法连接) 不推荐
export DOCKER_TLS_VERIFY=1    

# 设置远程dockerhost (使用后本地docker无法连接)不推荐
export DOCKER_HOST= tcp://ip:port

docker version
docker -H=ip:host --tlsverify=true version

方式2:命令行

docker -H=ip:host --tlsverify=true --tlscacert=/Users/zyj/ssl/ca.pem --tlscert=/Users/zyj/ssl/cert.pem --tlskey=/Users/zyj/ssl/key.pem  version

方式3:idea插件

在这里插入图片描述
在这里插入图片描述

Docker容器访问外网:启动时的网络参数配置指南
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
02-11 734
如果你需要更复杂的网络配置,比如容器之间的隔离、跨主机的网络通信等,可以使用Docker的自定义网络功能。创建自定义网络启动容器并连接到自定义网络在这种情况下,你还需要确保自定义网络能够访问外网,这通常涉及到配置路由、网关等。
CI持续集成环境搭建(2)--docker的安装与配置
a10703060237的博客
04-29 423
1. 安装docker 1) 设置yum源 cd /etc/yum.repos.d/ wget http://mirrors.aliyun.com/repo/Centos-7.repo wget http://mirrors.aliyun.com/repo/epel-7.repo yum -y install epel-release 2) 安装docker [root@localhost ~]#...
Docker远程访问与加密配置指南
最新发布
2302_76195174的博客
03-29 699
掌握证书生成与配置的全流程 熟悉防火墙策略与Docker安全配置的协同工作方式 测试不同网络环境下远程连接的实际效果
配置docker的镜像为阿里云镜像(亲测,果然快!!!)
会写Bug的攻城狮
09-15 736
配置docker的镜像为阿里云镜像 $ cat /etc/sysconfig/docker # /etc/sysconfig/docker OPTIONS='--selinux-enabled \ --log-driver=journald \ --signature-verification=false \ --registry-mirror=https://kfwkfulq.mirror.aliyuncs.com' if [ -z "${DOCKER_CERT_PATH}" ]; then
Docker 的安全配置与优化(一)
qq_42190530的博客
02-21 981
Docker 的安全配置与优化(一)
Docker配置CA证书和远程访问
Oscrazy的博客
01-22 2189
说明 我遇到过一个坑,为了方便远程管理docker,开放了所有IP对2375端口开放,这样是非常危险的,黑客很容易就能通过端口号进入你的容器,并且无需密码就能获取管理员权限,能对docker发送指令 下面开始快速生成CA证书 1.首先再任意目录创建一个脚本文件,比如叫autogen.sh touch autogen.sh vim autogen.sh 编辑内容如下面,根据提示修改[BEGIN]~[END]的内容 IP是必须修改的,其他选改 #!/bin/bash # ------------------
docker生成ssl证书(按步骤来即可,真实可用)
guochengabcd的博客
09-06 2379
docker生成证书
Docker启用TLS实现安全配置的步骤
09-29
确认Docker守护进程已成功启用TLS并可安全访问,可以尝试运行一个简单的Docker命令,如`docker info`。如果配置正确,命令应该能够正常执行,表明TLS连接已建立。 通过启用TLSDocker守护进程可以提供更高级别的...
Docker开启远程安全访问的图文教程详解
09-29
### 第二步:重新加载Docker配置并重启服务 执行以下命令,使改动生效并重启Docker服务: ```bash systemctl daemon-reload systemctl restart docker ``` ### 第三步:测试远程访问 现在,你可以尝试通过浏览器...
Harbor企业docker私服安装及SSL安全访问配置
ningkangming的博客
07-10 1474
详细介绍harbor docker私服的搭建及SSL安全访问配置
以HTTPS的方式运行docker
沈首二
11-08 4817
以HTTPS的方式运行docker保护Docker daemon socket默认情况下,Docker以一种无网络的Unix socket方式运行。也可以通过选项设置使用HTTPsocket。如果需要通过网络以一种安全的方式访问Docker,可以通过tlsverify标签来允许TLS,使用tlscacert标签指定可信的CA证书。在后台守护模式中,仅运行通过CA签名的证书的客户端连接访问。在客户端模
docker开启TLS远程访问 2376
lms99251的博客
07-18 2097
docker开启TLS远程访问的方法
docker基础(21):配置CA证书远程发布项目
不积跬步,无以至千里
03-22 1696
如果你没有docker远程发布的经验,建议先查看简单的发布方式 docker基础(15):idea插件远程发布项目 文章目录概述操作流程配置证书&开启远程端口2测试配置idea 概述 生产环境禁止将docker远程发布端口无密钥的暴露到公网,否则分分变成矿机。 #编辑/lib/systemd/system/docker.service vim /lib/systemd/system/docker.service #开启远程(不要在公网这么干) ExecStart=/usr/bin/dockerd -
Docker-java 在java中连接Docker (二) --安全连接
12-17 5770
在上一篇文章中简单的进行docker的连接,但是会有暴露端口的漏洞存在,也就是说黑客获取了你的ip地址以及端口号以后可以对你的docker进行破坏(为所欲为),这种方式在实际项目中不可取,必须做安全连接,通过密钥的方式做认证。 如何在服务器上或者本地虚拟机上生成密钥文件可参考官方文档:https://docs.docker.com/engine/security/https/#create-a-...
Docker 生产环境之安全性 - 用证书验证仓库客户端
kikajack的博客
03-17 2405
原文地址在 通过 HTTPS 运行 Docker 中可以知道,默认情况下 Docker 通过非联网的 Unix 套接字运行,为了使 Docker 客户端和守护进程可以安全的通过 HTTPS 通信,必须开启 TLSTLS 可以认证 registry 端点,并将进出 registry 的流量加密。本文演示如何确保 Docker registry 服务器与 Docker 守护进程之间的流量经过加密,并
window11安装docker小白教程
yutingwu816的博客
12-06 2万+
windows11安装docker并初步运行小白详细教程
Docker-compose命令详解
热门推荐
ksd的博客
08-09 5万+
语法: Define and run multi-container applications with Docker. Usage:   docker-compose [-f=...] [options] [COMMAND] [ARGS...]   docker-compose -h|--help Options:   -f, --file FILE             
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mars'Ares

请我喝杯咖啡吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值