Docker ------ TLS 加密通讯

TLS 加密通讯:
为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,C/S 两端应该通过加密方式通讯。

准备好两台虚拟机,各自安装好 docker,一台作为master、一台作为client:

masterclient
192.168.220.131192.168.220.140

第一步:首先修改好主机名

master修改如下:
[root@localhost ~]# hostnamectl set-hostname master
[root@localhost ~]# su

[root@master ~]# vim /etc/hosts
127.0.0.1  master


client修改如下:
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su

[root@client ~]# vim /etc/hosts
192.168.220.131 master

在这里插入图片描述
在这里插入图片描述
第二步:配置

[root@master ~]# mkdir /tls
[root@master ~]# cd /tls/

1、创建ca密钥:
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
// aes:表示一个对称加密的一种形式
   out:表示输出
   .pem:表示一个证书

在这里插入图片描述

2、创建ca证书:
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
// -days 1000:有效期是1000天

在这里插入图片描述

3、创建服务器私钥:
[root@master tls]# openssl genrsa -out server-key.pem 4096

在这里插入图片描述

4、签名私钥:
[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

在这里插入图片描述

5、使用ca证书与私钥证书签名,输入密码:
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

在这里插入图片描述

6、生成客户端密钥:
[root@master tls]# openssl genrsa -out key.pem 4096

在这里插入图片描述

7、签名客户端:
[root@master tls]# openssl req -subj "/CN=clinet" -new -key key.pem -out client.csr

在这里插入图片描述

8、创建配置文件:
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf

在这里插入图片描述

9、签名证书,输入密码,需要(签名客户端,ca证书,ca密钥):
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

在这里插入图片描述

10、删除多余文件(这些都是制作的材料,后面就没有什么实际作用了):
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr

在这里插入图片描述

11、配置docker
[root@master tls]# vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

//重启、重载进程:
[root@master tls]# systemctl daemon-reload 
[root@master tls]# systemctl restart docker

在这里插入图片描述
将 /tls/ca.pem 、/tls/cert.pem 、/tls/key.pem 这三个文件复制到另一台主机上:

scp ca.pem root@192.168.220.140:/etc/docker/
scp cert.pem root@192.168.220.140:/etc/docker/
scp key.pem root@192.168.220.140:/etc/docker/

在这里插入图片描述
客户端验证:

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

在这里插入图片描述
这样,两个节点之间的通讯,都会经过加密处理,这样有效的保证了 docker容器的安全。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值