使用TLS加密Docker的API

最新推荐文章于 2024-07-23 21:27:59 发布
最新推荐文章于 2024-07-23 21:27:59 发布
阅读量979 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32506555/article/details/52834436
版权

学习Docker 的时候,我们都知道通常使用Docker,是使用docker客户端通过本地的socket与本地的docker服务端交互。当我们想通过TCP端口将docker服务器开放到网络上,同时只有信任的客户端可以连接时,就需要通过创建密钥并且分发给信任的客户端来实现。

通过创建自签名的证书文件,并且运行Docker daemon时使用了–tls-verify命令行选项,则docker服务器开启了tls认证,只有有秘钥文件的客户端才能连接到此docker服务器上。只要用于服务器和客户端之间加密的秘钥安全,则docker服务器就会保持安全。docker machine也是使用的这种加密机制。

首先需要在服务器上创建密钥文件,然后将其分发给信任的客户端,持有密钥文件的客户端就可以连接到服务器上了,如下图所示:


下面就来看一下创建这些密钥的过程:

创建docker server的证书及相关key文件

创建证书及keys需要使用OpenSSL软件包,如果命令openssl存在,则已安装该软件包,下面使用它生成证书及相关key文件:

[yangdong@centos7 ~]$ sudo su

[sudo] password for yangdong:

[root@centos7 yangdong]# read -s PASSWORD

[root@centos7 yangdong]# read SERVER

centos7

[root@centos7 yangdong]# cd /etc/docker

[root@centos7 docker]# openssl genrsa -aes256 -passout pass:$PASSWORD \

> -out ca-key.pem 2048Generating RSA private key, 2048 bit long modulus

.............................................+++

...................................................................................................+++

e is 65537 (0x10001)

[root@centos7 docker]# openssl req -new -x509 -days 365 -key ca-key.pem -passin pass:$PASSWORD \

> -sha256 -out ca.pem -subj "/C=NL/ST=./L=./O=./CN=$SERVER"

上面的命令从键盘读入输入到PASSWORD变量和SERVER变量中,然后生成了ca-key.pemca.pem文件。

[root@centos7 docker]# openssl genrsa -out server-key.pem 2048

Generating RSA private key, 2048 bit long modulus

....................................................+++

.......+++

e is 65537 (0x10001)

[root@centos7 docker]# openssl req -subj "/CN=$SERVER" -new -key server-key.pem \

> -out server.csr

[root@centos7 docker]# openssl x509 -req -days 365 -in server.csr -CA ca.pem -CAkey ca-key.pem \

> -passin "pass:$PASSWORD" -CAcreateserial \

> -out server-cert.pem

Signature ok

subject=/CN=centos7

Getting CA Private Key

上面这组命令生成了server-key.pemserver.csrserver-cert.pem

[root@centos7 docker]# openssl genrsa -out key.pem 2048

Generating RSA private key, 2048 bit long modulus

..............................+++

....................................................................................................................+++

e is 65537 (0x10001)

[root@centos7 docker]# openssl req -subj '/CN=client' -new -key key.pem \

> -out client.csr

[root@centos7 docker]# sh -c 'echo "extendedKeyUsage=clientAuth" > extfile.cnf'

[root@centos7 docker]# openssl x509 -req -days 365 -in client.csr -CA ca.pem -CAkey ca-key.pem \

> -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem \

> -extfile extfile.cnf

Signature ok

subject=/CN=client

Getting CA Private Key

上面这组命令生成了key.pemclient.csrcert.pem。最后更改相关文件的权限及移除无用的文件:

[root@centos7 docker]# chmod 0400 ca-key.pem key.pem server-key.pem

[root@centos7 docker]# chmod 0444 ca.pem server-cert.pem cert.pem

[root@centos7 docker]# rm client.csr server.csr

关于openssl命令的相关用法可以参考 相关博客 

建立docker server

下面就需要使用前面生成的相关key文件来设置docker daemon,如果是Ubuntu需要修改/etc/default/docker文件中的DOCKER_OPTS参数;如果是CentOS7需要在文件/etc/systemd/system/docker.service修改启动的命令行参数,添加如下命令行选项:

--tlsverify \

--tlscacert=/etc/docker/ca.pem \

--tlscert=/etc/docker/server-cert.pem \

--tlskey=/etc/docker/server-key.pem \

-H tcp://0.0.0.0:2376

分发key文件到客户端

下一步需要将生成的key文件分发到信任的客户端。可以通过SCP命令将它们复制过去。需要拷贝的文件包括ca.pemcert.pemkey.pem

scp/etc/docker/ca.pem client:/etc/docker

scp/etc/docker/cert.pem client:/etc/docker

scp/etc/docker/key.pem client:/etc/docker

测试

为了简便,在同一台机器上测试。首先用docker客户端不加任何认证信息连接docker server,此种情况下应该会被拒绝:

[root@centos7 yangdong]# docker -H centos7:2376 infoGet http://centos7:2376/v1.23/info: malformed HTTP response "\x15\x03\x01\x00\x02\x02".

* Are you trying to connect to a TLS-enabled daemon without TLS?

然后再使用认证信息连接(需要注意-H参数应该使用生成证书时给定的SERVER值):

[root@centos7 yangdong]# docker --tlsverify --tlscacert=/etc/docker/ca.pem \

> --tlscert=/etc/docker/cert.pem --tlskey=/etc/docker/key.pem \

> -H centos7:2376 infoContainers: 18Running: 0Paused: 0Stopped: 18Images: 53Server Version: 1.11.2Storage Driver: devicemapper

...

可见,通过以上配置,docker daemon通过2376端口开放到网络上,拥有认证的客户端可以连接到此daemon上。

 

文章来源:Andy's Techblog


qq_32506555
关注
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1967
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
docker remote api一键TLS加密
独孤清扬玩DB
07-12 565
docker api
Docker系列:docker开启远程加密访问,并使用Portainer远程管理
最新发布
落叶
07-23 279
现在 Docker 作为一种轻量级的容器化技术,已经被广泛应用于开发、测试和生产环境。为了更方便地管理 Docker 容器,有时候我们需要远程访问 Docker 守护进程,例如:Portainer 远程管理容器的时候。但是,远程访问会带来安全风险,因此开启加密的远程访问显得尤为重要。本篇博客将详细介绍如何开启 Docker 加密的远程访问,并且使用 Portainer 远程连接 Docker
CoreOS配置Docker API TLS认证
weixin_33722405的博客
07-31 142
为什么80%的码农都做不了架构师?>>> ...
你的 Docker 应用是安全的吗?
wangpeng198688的专栏
01-21 970
近一年来,Docker 已经逐渐成为 container 界的事实标准,成为技术人员不可或缺的技能之一,就像 Docker 宣称的那样,「Build,Ship,and Run Any App,Anywhere」,容器极大简化了环境部署的步骤,并且很好的保证了环境的一致性。Docker 的轻量级给云市场也注入了活力,国内已经有厂商发布了基于 Docker 的公有云服务,例如:灵雀云,DaoCloud。
Docker Secret加密
恋恋风辰的技术博客
12-22 1860
Docker Secret 在我们启动docker或者service需要指定密码,这种密码我们有时不想被别人知道,所以可以采用docker secret方式管理。 创建secret可以有两种方式,一种通过文件创建,一种通过命令行创建 我们在本地创建一个文件passwd zack1024 接下我们可以通过如下命令创建secret docker secret create my-pw passwd 运行后可以看到屏幕输出如下 qq463dkw4da9s05rwinntmo09 这是一
Docker——docker安全、Docker remote api 访问控制、TLS加密通讯
ML908的博客
04-28 2478
文章目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、 Docker 源码问题三、Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、 DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器...
Docker安全(TLS加密通讯,图文详解!)
qq_35456705的博客
03-31 496
Docker安全 文章目录Docker安全一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化1)Docker remote api 访问控制2)限制流量流向3)镜像安全4)Docker-TLS加密通讯 一、Docker 容器与虚拟机的区别 1.隔离与共享 虚拟机
Docker-TLS详解
繁星若渺的博客
03-17 1522
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
如何使用 TLS 保护 Docker 的 TCP 套接字
学海无涯苦作舟的博客
03-05 1848
DockerAPI 默认情况下完全不受保护,除了其 Unix 套接字上的文件系统权限。您应该在通过 TCP 公开 Docker API时设置 TLS,以便 Docker 引擎和您的客户端可以验证彼此的身份。否则,任何有权访问 TCP 端口的人都可以浏览您的 Docker 容器、启动新容器并像root在您的系统上一样运行操作。 配置的 TLS 将要求客户端提供由服务器证书颁发机构签名的有效证书。要使其正常工作,您需要创建 SSL 证书,然后设置 Docker Engine 以要求 TLS 连接。还必须.
docker_tls配置
weixin_50668398的博客
03-23 461
修改docker启动配置,启动参数加上这些 vi /lib/systemd/system/docker.service。执行生成证书脚本 vi tls.sh 证书生成路径/etc/docker/ca/通过docker命令行测试端口开放是否成功 ps:如0.0.0.0运行失败换成本机ip。脚本预写,可不执行 重启docker服务。
Docker Remote API 进行认证
qq_40422846的博客
05-19 2008
Docker 的 0.9 版本开始 Docker Remote API 开始提供了认证机制,这种认证机制采用了 TLS/SSL 证书来确保用户与 API 之间连接的安全性。 提示: 该认证不仅仅适用于 API ,通过这个认证,还需要配置 Docker 客户端来支持 TLS 认证。 有几种方法可以对我们的连接进行认证,包括可以使用...
Docker 安全加密系统
LI_MINGXUAN的博客
03-31 1095
Docker 安全一.Docker 容器与虚拟机的区别二.Docker 存在的安全问题1.Docker 自身漏洞2. Docker 源码问题三.Docker 架构缺陷与安全机制1. 容器之间的局域网攻击2. DDoS 攻击耗尽资源3. 有漏洞的系统调用4. 共享root用户权限四.Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五.Docker remote api 访问控制六.限制流量流向七.镜像安全八.Docker-TLS加密通讯 一.Docker 容器
tls加密通信
weixin_45725244的博客
04-28 386
两台虚拟机都安装了 docker-ce。 server端-----192.168.175.148 client端------192.168.175.149 //关闭防火墙 [root@promote ~]# systemctl stop firewalld.service [root@promote ~]# mkdir /root/tls //创建ca密码 [root@promote tls]#...
docker加密访问及idea部署服务到docker(配置共享)
zlhmeng的博客
06-16 1945
你自山河林间来 惊鸿一瞥百花开 从此我便无别意 千头万绪皆为爱 docker远程访问 之前刚学的时候,看见网上很多关于开启远程访问的教程,都是修改docker.service文件,然后开启2375端口,这种方式只适合在本地测试,后面我在线上部署了一个,第二天发现服务器被拉去挖矿了,我丢。 但是我又想在线上服务器docker部署服务,所以我们需要对服务器进行加密,你也可以使用jenkins,当然这也就不需要开启docker远程端口了。 生成证书 我们需要生成ca证书,然后引用证书 证书生成参考自:https
Redis 6.0 Docker容器使用TLS加密
MK 乘风破浪~的博客
03-18 1542
前言最近,公司在做渗透测试,要求redis使用加密传输。经过比较redis各版本,发现redis6.0开始正式支持TLS 通道加密,更加安全。redis6.0以下版本只支持数据加密,最新版本为redis7.0。考虑到redis7.0刚出不久,新的功能项目也暂时用不上。故此决定选用redis6.2.11(6.0的最新稳定版)。先决条件安装了 DockerDocker Compose 已安装。
Docker学习(十一)-----docker-ca加密认证
qq_44623314的博客
09-12 792
前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,很容易被黑客黑,因此,docker官方推荐使用加密的tcp连接,以https的方式与客户端建立连接官网文档。
docker管理工具之证书的制作与证书的加密
love_sunshine_999的博客
08-23 871
1.证书的制作 ##下载registry镜像 lftp 172.25.254.251:/pub/docs/docker> get registry.tar ##导入镜像 [root@foundation52 kiosk]# docker load -i registry.tar ## [root@foundation52 kiosk]# docker run -d -p 5000:500...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值