Redis 6.0 Docker容器使用TLS加密

已于 2023-03-20 17:23:21 修改
阅读量1.6k 收藏 3
点赞数 1
分类专栏: Redis 安全 文章标签: docker redis ssl tls redis6.0 Powered by 金山文档
于 2023-03-18 22:23:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012134942/article/details/129637095
版权

前言

最近,公司在做渗透测试,要求redis使用加密传输。经过比较redis各版本,发现redis6.0开始正式支持TLS 通道加密,更加安全。redis6.0以下版本只支持数据加密,最新版本为redis7.0。考虑到redis7.0刚出不久,新的功能项目也暂时用不上。故此决定选用redis6.2.11(6.0的最新稳定版)。

先决条件

  • 安装了 Docker。

  • Docker Compose 已安装。

Redis 容器镜像获取

访问docker官网:

https://hub.docker.com/_/redis/tags?page=2

点击Tags:

找到我们想要的版本,获取下载命令:docker pull redis:6.2.11

在服务器上分别运行:

docker pull redis:6.2.11   
docker images

看到上图结果,说明redis 容器镜像下载成功。

注:redis官网上会看到 make BUILD_TLS=yes ,需要修改配置,重新编译才支持TLS,默认是不支持的。这个是针对平常的安装包,docker 容器版是默认开启支持TLS的,不需要重新编译。

运行Redis容器

让我们先在没有 TLS 的情况下运行 Redis 容器

创建一个文件compose.yml并粘贴下面的内容。

services:
 redis:
  image: redis:6.2.11
  network_mode: "host"
  volumes: 
   #/home/10config/redis/redis.conf 是宿主机路径,必须存在
   #/usr/local/etc/redis/redis.conf 是redis容器路径
   - /home/10config/redis/redis.conf:/usr/local/etc/redis/redis.conf  
  restart: always
  container_name: legrand_redis6.2.11_v1
  privileged: true
  command: redis-server /usr/local/etc/redis/redis.conf

redis.conf 可以在redis的安装包获取。

redis.conf 百度网盘下载路径 提取码:ju3h

运行容器:

docker-compose up -d    #启动容器
docker exec -it legrand_redis6.2.11_v1 /bin/bash  #进入容器

运行docker exec -it legrand_redis6.2.11_v1 /bin/bash,出现如下图,说明容器运行成功。

生成证书

为了使用 TLS 运行 Redis,我们需要提供自己的 SSL 证书。您可以购买一个,或者对于这个我们不需要购买的用例,但为我们的 Redis 实例和连接到它的客户端生成我们自己的自签名证书。

运行脚本

#!/bin/sh
mkdir -p tests/tls

openssl genrsa -out tests/tls/ca.key 2048
openssl req \
    -x509 -new -nodes -sha256 \
    -key tests/tls/ca.key \
    -days 36500 \
    -subj '/O=Redis Test/CN=Certificate Authority' \
    -out tests/tls/ca.crt

openssl genrsa -out tests/tls/redis.key 2048

openssl req \
    -new -sha256 \
    -key tests/tls/redis.key \
    -subj '/O=Redis Test/CN=Server' | \
    openssl x509 \
        -req -sha256 \
        -CA tests/tls/ca.crt \
        -CAkey tests/tls/ca.key \
        -CAserial tests/tls/ca.txt \
        -CAcreateserial \
        -days 36500 \
        -out tests/tls/redis.crt

openssl dhparam -out tests/tls/redis.dh 2048

注意:证书默认有效期为1年 ,-days 可以设置证书有效期 ,单位天

得到以下文件:

其中:

ca.crt : CA根证书,用于验证证书是否合法

ca.key: CA根证书私钥

redis.crt: ca.crt根证书签发的证书

redis.key:ca.crt根证书签发的证书私钥

配置TLS

services:
 redis:
  image: redis:6.2.11
  network_mode: "host"  #和宿主机共用网卡
  volumes: 
   #/home/10config/redis/redis.conf 是宿主机路径,必须存在
   #/usr/local/etc/redis/redis.conf 是redis容器路径
   - /home/10config/redis/redis.conf:/usr/local/etc/redis/redis.conf 
   #挂载到宿主机的证书路径,使容器能访问到证书 
   - /home/3redis/tests/tls:/tls
  restart: always
  container_name: legrand_redis6.2.11_v1
  #使用该参数,container内的root拥有真正的root权限。
  #否则,container内的root只是外部的一个普通用户权限。
  privileged: true
  command: redis-server /usr/local/etc/redis/redis.conf

redis.conf 增加以下配置

# Accept connections on the specified port, default is 6379.
# If port 0 is specified Redis will not listen on a TCP socket.
port 0  #关闭非tls端口
tls-port 6379

################################## TLS 配置 ###################################
tls-cert-file /tls/redis.crt  #用于指定redis服务端证书文件
tls-key-file /tls/redis.key   #用于指定redis服务端私钥文件
#上述二者都是服务端的,用于客户端使用CA根证书去验证服务端。
tls-ca-cert-file /tls/ca.crt  #CA根证书,用于服务端验证客户端
#设置密钥交换协议文件
#迪菲-赫尔曼密钥交换(英语:Diffie–Hellman key exchange,缩写为DH)
#使用DH后TLS握手中的第三个随机数不在网络上传输(原来是加密传输),加强了安全性。
tls-dh-params-file /tls/redis.dh  
tls-auth-clients yes    # yes 开启双向认证

启动TLS容器

docker-compose up -d  #启动容器
docker exec -it legrand_redis6.2.11_v1 /bin/bash  #进入容器
# 以tls方式连接redis客户端,因为开启了双向认证,所有redis客户端也要指定证书。
# 现在和redis服务端使用同一份证书,也可以为redis客户端重新生成证书,只要是同一个CA根证书签发的就可以
redis-cli --tls \
--cert /tls/redis.crt \
--key /tls/redis.key \
--cacert /tls/ca.crt

至此Redis TLS Docker容器配置成功。

参考文档

https://devpress.csdn.net/redis/62ed1a027e668234661807b8.html

Spring-Data-Redis和Redisson TLS连接方式

请参考:Spring-Data-Redis 和 Redisson TLS加密 连接

MK 乘风破浪~
关注
专栏目录
大厂Redis高频面试题及参考答案(持续更新)
大模型大数据攻城狮的专栏
04-17 442
Redis的单线程模型指的是Redis的主线程同时处理所有客户端的请求。这种模型下,Redis通过事件循环和非阻塞I/O来管理多个客户端连接,确保即使在高并发情况下也能保持高性能。性能优化:单线程避免了多线程带来的上下文切换开销和锁竞争问题。在多核CPU上,Redis可以通过多路复用技术(如epoll)高效地处理大量并发连接。简化模型:单线程模型简化了并发控制和数据一致性问题的解决方案。Redis通过队列和事件来管理请求,避免了复杂的多线程同步机制。内存亲和性。
docker——tlsssl加密通信
Yusheng9527的博客
03-16 1996
docker——tlsssl加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
你的 Docker 应用是安全的吗?
wangpeng198688的专栏
01-21 986
近一年来,Docker 已经逐渐成为 container 界的事实标准,成为技术人员不可或缺的技能之一,就像 Docker 宣称的那样,「Build,Ship,and Run Any App,Anywhere」,容器极大简化了环境部署的步骤,并且很好的保证了环境的一致性。Docker 的轻量级给云市场也注入了活力,国内已经有厂商发布了基于 Docker 的公有云服务,例如:灵雀云,DaoCloud。
docker安装 redis 并且加密开启SSL/TLS通道
最新发布
曼陀罗的博客
09-06 767
要在 Spring Boot 中通过 SSL/TLS 连接启用 SSLRedis 实例,您需要在 Spring Boot 的 application.yml 或 application.properties 文件中进行相应的配置。要连接到启用了 TLSRedis 实例,需要使用支持 TLS 的客户端。通过 -v /data/redis/ssl:/etc/redis/ssl 挂载证书和密钥到容器。确保生成的证书和密钥文件保存在 /data/redis/ssl/ 目录下。
Docker安全(TLS加密通讯,图文详解!)
qq_35456705的博客
03-31 521
Docker安全 文章目录Docker安全一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化1)Docker remote api 访问控制2)限制流量流向3)镜像安全4)Docker-TLS加密通讯 一、Docker 容器与虚拟机的区别 1.隔离与共享 虚拟机
Redis6.0新特性-TLS测试
wejack的专栏
07-11 1413
Redis6.0新特性-TLS测试
Docker Secret加密
恋恋风辰的技术博客
12-22 1890
Docker Secret 在我们启动docker或者service需要指定密码,这种密码我们有时不想被别人知道,所以可以采用docker secret方式管理。 创建secret可以有两种方式,一种通过文件创建,一种通过命令行创建 我们在本地创建一个文件passwd zack1024 接下我们可以通过如下命令创建secret docker secret create my-pw passwd 运行后可以看到屏幕输出如下 qq463dkw4da9s05rwinntmo09 这是一
Redis 6.0的Windows版本(64位)
08-20
使用cgywin64编译的Redis 6.0,意味着用户无需虚拟机或Docker等额外环境,即可在Windows 64位系统上直接部署和使用Redis。 在实际应用中,Redis常被用作缓存,提高Web应用程序的响应速度,例如存储会话信息、热门...
后端开发【一大波有用知识】Redis的线程模型和异步机制
Linuxhus的博客
05-10 332
文章目录 Redis 6.0引入多线程 异步机制 Redis pipeline技术 Redis 事务 ACID特性分析 redis 发布订阅 我们通常说,Redis 是单线程,主要是指 Redis 的网络 IO 和键值对读写是由一个线程来完成的,这也是 Redis 对外提供键值存储服务的主要流程。 但 Redis 的其他功能,比如持久化、异步删除、集群数据同步等,其实是由额外的线程执行的。 为什么使用单线程: 多线程并发开销大,访问共享资源时
Redis 多线程网络模型全面揭秘
Linuxhus的博客
09-05 267
Redis 作为缓存系统的事实标准,它的底层原理值得开发者去深入学习,Redis 自 2009 年发布第一版之后,其单线程网络模型的选择在社区中从未停止过讨论,多年来一直有呼声希望 Redis 能引入多线程从而利用多核优势,但是作者 antirez 是一个追求大道至简的开发者,对 Redis 加入任何新功能都异常谨慎,所以在 Redis 初版发布的十年后才最终将 Redis 的核心网络模型改造成多线程模式,这期间甚至诞生了一些 Redis 多线程的替代项目。
Kubernetes-Secret
「 虚幻私塾」
01-25 621
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 1. 简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 P
redis enable TLS
weixin_30840573的博客
01-07 854
https://docs.microsoft.com/en-us/skype-sdk/sdn/articles/installing-security-certificates https://stackexchange.github.io/StackExchange.Redis/ https://stackoverflow.com/questions/34166796/is-it-...
Docker 安全加密系统
LI_MINGXUAN的博客
03-31 1112
Docker 安全一.Docker 容器与虚拟机的区别二.Docker 存在的安全问题1.Docker 自身漏洞2. Docker 源码问题三.Docker 架构缺陷与安全机制1. 容器之间的局域网攻击2. DDoS 攻击耗尽资源3. 有漏洞的系统调用4. 共享root用户权限四.Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五.Docker remote api 访问控制六.限制流量流向七.镜像安全八.Docker-TLS加密通讯 一.Docker 容器
Redis 7.0.X 在Windows下编译支持TLS连接,遇坑埋坑
iihero@CSDN
03-19 1435
Redis在版本6以及以后,基于安全的需要,就开始支持TLS连接了。基于Windows版本的维护,在网上以前有两个库,一个是微软维护的,维护到3.x之后就变成archive了,见后边的参考链接。另一个库也只维护到5.x。还没有一个windows版本维护到6及以上的版本。如果仔细推敲其原因,可能还是在windows平台上用的不多吧。简单的非TLS的在windows上跑跑也不差不多了。那到底有没有可能编译出一份支持TLS的windows版本呢?
Redis部署全攻略——SSL/TLS配置
bbsxb520的博客
06-14 2231
redisTLS开启,及单机模式、主从模式、哨兵模式、集群模式的配置方法
docker加密访问及idea部署服务到docker配置共享)
zlhmeng的博客
06-16 1959
你自山河林间来 惊鸿一瞥百花开 从此我便无别意 千头万绪皆为爱 docker远程访问 之前刚学的时候,看见网上很多关于开启远程访问的教程,都是修改docker.service文件,然后开启2375端口,这种方式只适合在本地测试,后面我在线上部署了一个,第二天发现服务器被拉去挖矿了,我丢。 但是我又想在线上服务器docker部署服务,所以我们需要对服务器进行加密,你也可以使用jenkins,当然这也就不需要开启docker远程端口了。 生成证书 我们需要生成ca证书,然后引用证书 证书生成参考自:https
Spring Redis 启用TLS配置支持(踩坑&解决)
Tecc
05-09 3708
Spring Redis TLS 配置
Redis 6.0 TLS支持
middleware2018的博客
09-29 1681
原文:https://redis.io/topics/encryption 翻译:Wen Hui 转载:中间件小哥 Redis从版本6开始支持SSL / TLS,这是一项可选功能,需要在编译时启用。 编译 要使用TLS支持进行构建,你需要OpenSSL开发库(例如Debian / Ubuntu上的libssl-dev)。 运行make BUILD_TLS = yes。 验证 要使用TLS运行Redis测试套件,你需要TCL的TLS支持(即Debian / Ubuntu上的tcl-..
容器docker数据卷加密
weixin_40911489的博客
08-19 140
我整理的一些关于【容器,Docker】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/xltfov容器Docker数据卷加密 随着云计算和容器化技术的迅猛发展,Docker作为一种流行的容器平台,越来越多地被运用在生产环境中。在使用Docker容器时,数据的持久性和安全性是一...
docker 安装redis6.0
10-22
安装 Redis 6.0 可以 Docker 进行安装,以下是在三台机器上分别安装 Redis 6.0 的命令: 1. 在 192.168.119.158 机器执行以下命令: ``` for port in $(seq 6375 6376); do \ docker run -di --restart always --name redis-${port} --net host \ -v /usr/local/docker-redis/redis-cluster/${port}/conf/redis.conf:/usr/local/etc/redis/redis.conf \ -v /usr/local/docker-redis/redis-cluster/${port}/data:/data \ redis:6.0 redis-server /usr/local/etc/redis/redis.conf; \ done ``` 2. 在 192.168.119.157 机器执行以下命令: ``` for port in $(seq 6373 6374); do \ docker run -di --restart always --name redis-${port} --net host \ -v /usr/local/docker-redis/redis-cluster/${port}/conf/redis.conf:/usr/local/etc/redis/redis.conf \ -v /usr/local/docker-redis/redis-cluster/${port}/data:/data \ redis:6.0 redis-server /usr/local/etc/redis/redis.conf; \ done ``` 3. 在 192.168.119.156 机器执行以下命令: ``` for port in $(seq 6371 6372); do \ docker run -di --restart always --name redis-${port} --net host \ -v /usr/local/docker-redis/redis-cluster/${port}/conf/redis.conf:/usr/local/etc/redis/redis.conf \ -v /usr/local/docker-redis/redis-cluster/${port}/data:/data \ redis:6.0 redis-server /usr/local/etc/redis/redis.conf; \ done ``` 以上命令会在每台机器上启动两个 Redis 实例,分别监听不同的端口。其中,`-v` 参数用于挂载配置文件和数据目录,`redis:6.0` 表示使用 Redis 6.0 镜像,`redis-server /usr/local/etc/redis/redis.conf` 表示启动 Redis 服务并指定配置文件路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值