Docker允许远程tcp访问并配置tls验证

于 2023-08-07 22:44:50 发布
阅读量229 收藏
点赞数
分类专栏: # Docker 文章标签: docker 容器 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34983571/article/details/132154734
版权

文章目录

自签tls证书

下载自签证书工具

$ mkdir -pv /usr/local/cfssl
$ cd /usr/local/src
$ curl -L https://github.com/cloudflare/cfssl/releases/download/v1.6.2/cfssl_1.6.2_linux_amd64 -o /usr/local/cfssl/cfssl 2>/dev/null
$ curl -L https://github.com/cloudflare/cfssl/releases/download/v1.6.2/cfssl-certinfo_1.6.2_linux_amd64 -o /usr/local/cfssl/cfssl-certinfo 2>/dev/null
$ curl -L https://github.com/cloudflare/cfssl/releases/download/v1.6.2/cfssljson_1.6.2_linux_amd64 -o /usr/local/cfssl/cfssljson  2>/dev/null
$ chmod +x /usr/local/cfssl/*
$ echo 'PATH=$PATH:/usr/local/cfssl' > /etc/profile.d/cfssl.sh
$ source /etc/profile.d/cfssl.sh

# 验证
# cfssl 
$ cfssl version
Version: 1.6.2
Runtime: go1.18

签发根证书

根(ca)证书配置
$ mkdir /etc/docker/tls
$ cd /etc/docker/tls

$ cat ca-config.json
{
    "signing": {
        "default": {
            "expiry": "1752000h"
        },
        "profiles": {
            "www": {
                "expiry": "1752000h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}
根(ca)证书签名请求文件
$ cat ca-csr.json
{
    "CA":{"expiry":"876000h"},
    "CN": "CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "GD",
            "L": "Shenzhen",
            "O": "Demingcompany",
            "OU": "Devops"
        }
    ]
}
签发根(ca)证书
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca - 

# 签发成功会生成: ca.csr、ca-key.pem、ca.pem

签发Docker服务器使用证书

创建证书签名请求文件
# hosts中多填写一些预留ip/域名,方便后续新加docker服务器直接使用
$ cat server-csr.json
{
    "CN": "docker",
    "hosts": [
        "127.0.0.1",
        "localhost",
        "docker-1.deming.com",
        "local.docker-1.deming.com"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "GD",
            "L": "Shenzhen"
        }
    ]
}
签发证书
$ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server 

# 签发成功会生成: server.csr、server-key.pem、server.pem

签发客户端 连接Docker使用的证书

创建证书签名请求文件
$ cat client-csr.json  
{
    "CN": "portainer",
    "hosts": [],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "GD",
            "L": "Shenzhen"
        }
    ]
}
签发证书
$ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www client-csr.json | cfssljson -bare client

# 签发成功会生成: client.csr、client-key.pem、client.pem

修改Docker配置

确认已安装好了Docker

配置更新

# 创建或者编辑如下配置文件追加如下配置
$ vim /etc/docker/daemon.json 
{
    ...
    "hosts": ["tcp://0.0.0.0:2375", "unix:///var/run/docker.sock"],
    "tlscacert": "/etc/docker/tls/ca.pem",
    "tlscert": "/etc/docker/tls/server.pem",
    "tlskey": "/etc/docker/tls/server-key.pem",
    "tlsverify": true
}

修改systemd进程启动文件(不使用systemd管理进程则跳过)

$ sed -i 's# -H fd://##g' /usr/lib/systemd/system/docker.service

- 重启docker生效
$ systemctl daemon-reload
$ systemctl restart docker

验证

$ cd /etc/docker/tls

$ docker --tlsverify \
    --tlscacert=ca.pem \
    --tlscert=client.pem \
    --tlskey=client-key.pem \
    -H tcp://127.0.0.1:2375 version
 
 # 执行成功则配置正常
DemingLiu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker开启TLS远程连接
mxrain的博客
06-21 475
最近在研究cicd jenkins 需要连接阿里云服务器的docker 2375端口, 这里用TLS方式连接docker服务 一、制作证书(docker服务的机器) 建立证书存放位置 创建CA证书私钥 创建服务端私钥 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr 配置白名单,用多个用逗号隔开,例如: IP:192.168.3.171,IP:0.0.0.0,这里需要注意,虽然0.0.0.0
Docker高级应用之远程TLS管理(安全认证)步骤详细简单易懂
chenchen的博客
12-03 1169
目录一、TLS简介二、Docker 容器与虚拟机的区别三、Docker 存在的安全问题 一、TLS简介 TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 TLS协议具备三大特性:保密性(数据都是加密传输,预防第三方嗅探)、数据完整性(基于MAC校验机制)、双向认证支持(避免身份被冒充) 在doc
DockerTLS认证
qq_27858615的博客
07-28 1455
dockerTLS认证
Linux开启Docker远程访问并设置安全访问(证书密钥)
D的博客
08-01 1125
然后依次输入:访问密码、国家、省、市、组织名称、单位名称、随便一个名字、邮箱等。HOST是你的IP或者域名,使用时将HOST替换为自己的IP或者域名。防止密钥文件被误删或者损坏,我们改变一下文件权限,让它只读就可以。证书就创建完成了,然后我们还需要去创建服务器密钥和证书签名请求()了,确保“通用名称”与你连接Docker时使用的主机名相匹配。守护程序的主机上(也就是本机),生成CA私钥和公钥。防止证书损坏,我们也删除它的写入权限。证书文件夹选择你存放证书的文件夹。我们首先获取我服务器上的证书。
第十章 Docker服务开启TCP端口
Mr_Wanter
03-02 1435
文章目录前言1.开启docker tcp2.portainer 远程连接 前言 默认安装的Docker服务不支持远程连接,开启TCP端口后portianer可以进行远程连接Docker 1.开启docker tcp 打开编辑:vim /lib/systemd/system/docker.service 注释原有的:#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock 添加新的:ExecStar
Docker开启远程安全访问的图文教程详解
09-29
### 安全考虑:配置Docker远程访问的安全措施 **警告:** 不推荐在生产环境中直接使用上述步骤,因为它将Docker API暴露在互联网上,存在严重的安全风险。正确的做法是启用基于证书的TLS加密。 #### 1. 创建CA...
把H2数据库从jar包部署到Kubernetes,并解决Ingress不支持TCP的问题.docx
06-28
要将 H2 数据库部署到 Kubernetes (k8s),首先需要创建一个 Docker 映像,将 H2 数据库打包进去,并配置好所需的环境变量和端口映射。接着,使用 Kubernetes 的 YAML 文件定义部署和服务,确保服务暴露适当的端口,...
基于JAVA CS远程监控系统软件的实现.zip
最新发布
05-14
Java CS远程监控系统是一种通过客户端-服务器(Client-Server,CS)架构实现的软件系统,它允许管理员在远程位置监控和管理计算机系统、网络设备、应用程序和服务的状态。本项目主要探讨了如何使用Java编程语言来...
基于Java的远程视频会议系统(系统+).rar
07-02
6. **安全机制**:加密传输、身份验证、权限控制等,可能涉及SSL/TLS、JWT令牌等。 7. **WebRTC技术**:这是一种实时通信技术,常用于浏览器端的音视频通信,可能在前端实现中被应用。 8. **UI设计**:用户体验和...
Java远程监控软件
08-04
Java远程监控软件是一种基于Java编程语言开发的应用程序,它允许用户在不同的计算机之间进行远程监控和管理。这种软件通常用于系统管理员对网络中的多台计算机进行实时监控,以确保系统的稳定性和安全性。以下是对该...
使用TLS (HTTPS) 远程管理Docker
bshhr的博客
05-31 451
前言 TSL连接方式是官方推荐的Docker远程管理连接方式,本文根据官方文档和网上资料,结合本人配置时出现的问题和解决方法,整理出配置的过程。 1.配置Docker服务器 1.1 创建证书生成的操作目录 在当前服务器登录账号有权限的目录创建,例如:/home/$当前账号,避免需要使用root权限导致的各种问题。 mkdir -p ./ca cd ca 1.2 创建CA私钥和CA公钥 创建CA私钥,需要输入两次密码,请记住输入的密码。 openssl genrsa -aes256 -out ca-key
docker远程连接证书生成步骤
hjg719的博客
09-26 1205
docker证书生成步骤
docker证书文件生成+Idea使用证书连接docker
寂寞GOD的博客
08-12 766
docker开放端口后只要知道ip和端口号就可以随意管理镜像和容器非常不安全,生成环境中要使用证书来连接管理docker
docker添加证书认证
u010826341的博客
04-28 2963
docker添加证书认证
docker开放2375端口,并添加安全传输层协议(TLS)和CA认证
honvin的博客
08-17 1万+
为了更便捷地打包和部署,服务器需要开放2375端口才能连接docker,但如果开放了端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,任何知道你IP的人,都可以管理这台主机上的容器和镜像,真的可怕。 为了解决安全问题,只要使用安全传输层协议(TLS)进行传输并使用CA认证即可。 制作证书及秘钥 我们需要使用OpenSSL制作CA机构证书、服务端证书和客户端证书,以下操作均在安装Docker的Linux服务器上进行。 创建一个目录用于存储生成的证书和秘钥 mkdir
docker 设置TLS远程访问
weixin_33774308的博客
11-12 380
2019独角兽企业重金招聘Python工程师标准>>> ...
centos7 docker开启认证的远程端口2376配置教程
热门推荐
新林的博客
05-17 1万+
- docker开启2375会存在安全漏洞 暴露了2375端口的Docker主机。因为没有任何加密和认证过程,知道了主机IP以后,,任何人都可以管理这台主机上的容器和镜像,以前贪图方便,只开启了没有认证的docker2375端口,后来被黑客通过这个端口上了一个挖矿木马病毒的镜像并运行,所以非测试开发环境的话,还是要开启需要安全认证的tcp端口 - docker开启非认证的端口看这篇文章 https://blog.csdn.net/u012946310/article/details/8231
docker配置TLS开启远程访问
蓝色格子ren的博客
12-11 2261
在安装好dockerdocker的加速器后,我们需要通过idea访问docker以通过idea插件去自动化部署项目到docker容器。默认情况下,Docker通过非网络UNIX套接字运行。它还可以选择使用HTTP套接字进行通信。如果您需要通过网络以安全方式访问Docker,可以通过指定该tlsverify标志并将Dockertlscacert标志指向受信任的CA证书来启用TLS。 1.使用o...
TLS加密远程连接Docker
程序员欣宸的博客
09-07 2438
学习Docker官方推荐的安全的远程连接方式:TLS加密连接
Docker Swarm 2376怎么配置允许远程访问
05-31
配置Docker Swarm 2376允许远程访问,需要按照以下步骤进行: 1. 编辑Docker服务配置文件,找到Docker服务的配置文件,一般在/etc/systemd/system/docker.service.d/下面,使用vi或nano进行编辑,如果没有该目录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值