Docker-TLS加密通讯——生产环境

最新推荐文章于 2022-10-24 10:00:00 发布
置顶 最新推荐文章于 2022-10-24 10:00:00 发布
阅读量295 收藏
点赞数
分类专栏: docker 文章标签: docker tls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45724795/article/details/105777001
版权
本文介绍了如何在生产环境中防止Docker通信被中间人攻击,通过详细步骤阐述了如何部署TLS加密通讯:包括环境部署、TLS证书的创建与签名、客户端配置以及验证过程,确保容器集群的安全通信。
摘要由CSDN通过智能技术生成

前言:为了防止链路劫持、会话劫持等问题导致Docker通信时被中间人攻击,c/s两端应该通过加密方式通讯

文章目录

一、部署

  • 一台做服务端tls。一台做客户端client

1.环境部署

[root@promote ~]# hostnamectl set-hostname master
[root@promote ~]# su
[root@master ~]# vim /etc/hosts
127.0.0.1 master

[root@promote ~]# hostnamectl set-hostname client
[root@promote ~]# su
[root@client ~]# vim /etc/hosts
192.168。170.151 master

2.部署tls

[root@master ~]# mkdir /tls
[root@master ~]# cd /tls/
  • 创建ca密钥
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.............................................................................................................................................................++
.........................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:    //密码输入123123
Verifying - Enter pass phrase for ca-key.pem:
//aes256 对称加密形式,256位   输出的形式为pem(证书)
[root@master tls]# ls
ca-key.pem
  • 创建ca证书
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:   //自己建的密码123123
[root@master tls]# ls
ca-key.pem  ca.pem
//有效期1000天  密钥文件指向ca.key.pem 用的哈希算法 subj项目名称  输出证书名
  • 创建服务器私钥
[root@master tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
...............................................................++
.........................................................................................................................................................++
e is 65537 (0x10001)
[root@master tls]# ls
ca-key.pem  ca.pem  server-key.pem
//genrea 非对称
  • 签名私钥
[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
[root@master tls]# ls
ca-key.pem  ca.pem  server.csr  server-key.pem
//用server-key.epm创建 签名私钥为 server.csr
  • 使用ca证书与私钥证书签名
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*     //项目注册名称
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@master tls]# ls
ca-key.pem  ca.pem  ca.srl  server-cert.pem  server.csr  server-key.pem
  • 生成客户端密钥
[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
......................++
.................++
e is 65537 (0x10001)
[root@master tls]# ls
ca-key.pem  ca.pem  ca.srl  key.pem  server-cert.pem  server.csr  server-key.pem
  • 签名客户端
[root@master tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
[root@master tls]# ls
ca-key.pem  ca.pem  ca.srl  client.csr  key.pem  server-cert.pem  server.csr  server-key.pem
//生成一个客户端的密钥
  • 创建配置文件
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf
//拓展性密钥使用的是客户端验证
  • 签名证书,输入123123,需要(签名客户端,ca证书,ca密钥)
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@master tls]# ls
ca-key.pem  ca.srl    client.csr   key.pem          server.csr
ca.pem      cert.pem  extfile.cnf  server-cert.pem  server-key.pem
  • 删除多余文件
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr 
[root@master tls]# ls
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem
//中途签名的不需要,剩下证书
  • 配置docker
[root@master tls]# vim /lib/systemd/system/docker.service 
 14 ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
[root@master tls]# systemctl daemon-reload 
[root@master tls]# systemctl restart docker
[root@master tls]# netstat -ntap | grep dockerd   //端口已开启
tcp6       0      0 :::2376                 :::*                    LISTEN      55590/dockerd 
[root@master tls]# dockerd --tls    //可以使用dockerd命令
INFO[2020-04-26T21:38:10.644555951+08:00] Starting up                                  
failed to start daemon: pid file found, ensure docker is not running or delete /var/run/docker.pid

3.client操作

  • 将三个证书文件复制到client主机
[root@master tls]# scp ca.pem root@192.168.170.152:/etc/docker/
root@192.168.170.152's password: 
ca.pem                                                                      100% 1765     1.0MB/s   00:00    
[root@master tls]# scp cert.pem root@192.168.170.152:/etc/docker/
root@192.168.170.152's password: 
cert.pem                                                                    100% 1696   983.8KB/s   00:00    
[root@master tls]# scp key.pem root@192.168.170.152:/etc/docker/
root@192.168.170.152's password: 
key.pem                                                                     100% 3243     1.5MB/s   00:00    
[root@client ~]# cd /etc/docker
[root@client docker]# ls
ca.pem  cert.pem  daemon.json  key.json  key.pem

4.验证

  • 为了验证,先关闭master的防火墙
[root@master tls]# systemctl stop firewalld.service 
[root@master tls]# setenforce 0
setenforce: SELinux is disabled
  • 在客户端验证
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.8
 API version:       1.40
 Go version:        go1.12.17
 Git commit:        afacb8b
 Built:             Wed Mar 11 01:27:04 2020
 OS/Arch:           linux/amd64
 Experimental:      false

Server: Docker Engine - Community
 Engine:
  Version:          19.03.8
  API version:      1.40 (minimum version 1.12)
  Go version:       go1.12.17
  Git commit:       afacb8b
  Built:            Wed Mar 11 01:25:42 2020
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.2.13
  GitCommit:        7ad184331fa3e55e52b890ea95e65ba581ae3429
 runc:
  Version:          1.0.0-rc10
  GitCommit:        dc9208a3303feef5b3839f4323d9beb36df0a9dd
 docker-init:
  Version:          0.18.0
  GitCommit:        fec3683
//出现了版本信息,说明两者之间的通信已经被建立tls加密通讯
//比如查看镜像信息
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376  images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
//这里没有创建镜像
  • 同样,在本地也能查看
[root@master tls]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.8
 API version:       1.40
 Go version:        go1.12.17
 Git commit:        afacb8b
 Built:             Wed Mar 11 01:27:04 2020
 OS/Arch:           linux/amd64
 Experimental:      false

Server: Docker Engine - Community
 Engine:
  Version:          19.03.8
  API version:      1.40 (minimum version 1.12)
  Go version:       go1.12.17
  Git commit:       afacb8b
  Built:            Wed Mar 11 01:25:42 2020
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.2.13
  GitCommit:        7ad184331fa3e55e52b890ea95e65ba581ae3429
 runc:
  Version:          1.0.0-rc10
  GitCommit:        dc9208a3303feef5b3839f4323d9beb36df0a9dd
 docker-init:
  Version:          0.18.0
  GitCommit:        fec3683

总结

  • 在生产环境,为了确保容器的安全,比如用k8s组群集,做编排,都是用加密通讯
changz丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1957
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
Docker私房菜————Docker安全配置|Docker部署|Docker-TLS加密通讯|超详细图解|
ZJY
08-09 1183
目录 1.Docker 容器与虚拟机的区别1.1隔离与共享1.12性能与损耗 2.Docker 存在的安全问题2.1Docker 自身漏洞2.2Docker 源码问题 3.Docker 架构缺陷3.1容器之间的局域网攻击3.2DDoS 攻击耗尽资源3.3有漏洞的系统调用3.4共享root用户权限 4.Docker 安全基线标准4.1内核级别4.2主机级别4.3网络级别4.4镜像级别4.5容器级别4.6其他设置 5.部分安全操作5.1容器最小化5.2Docker remote api 访..
Docker - 实战TLS加密通讯
Gblfy_Blog
06-12 1157
使用说明 演示环境(centos7,docker17.06.0-ce) 创建一个文件夹 mkdir /ssl cd /ssl 创建ca密钥 openssl genrsa -aes256 -out ca-key.pem 4096 创建ca证书 openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out...
docker——TLS加密通讯
weixin_47219818的博客
10-12 459
文章目录1. CA是什么?2.CA证书的作用3.openssl 简介4.SSLCA证书5.Docker-TLS 加密通讯5.1 服务端配置5.2 client 上操作 1. CA是什么? CA是Certificate Authority的简写,从字面意思翻译过来是凭证管理中心,认证授权。 它有点类似我们生活中的身份证颁发机构,这里的CA就相当于生活中颁发身份证的机构。 不同于生活中的颁发机构,这里的CA是给服务器颁发证书。颁发证书的目的同生活中的办理身份证的目的类似,都是为了证明一件事,生活中的身份证可以
Docker--harbor
weixin_55609813的博客
08-04 580
Docker--harbor私有仓库部署与管理Harbor简介 Harbor简介 (1)什么是Harbor Harbor是VMware公司开源的企业级Docker Registry 项目,其目标是帮助用户迅速搭建一个 企业级的Docker Registry 服务。 Harbor以Docker 公司开源的Registry 为基础,提供了图形管理UI、基于角色的访问控制(Role Based AccessControl)、AD/LDAP 集成、以及审计日志(Auditlogging)等企业用户需求的功能,同时还
Docker——TLS加密通讯详解
weixin_48185643的博客
12-03 294
这里写目录标题一、Docker存在的安全问题二、TLS安全加密流程3.1 实验环境3.2 实验操作3.2.1 master服务器3.3 实验测试 一、Docker存在的安全问题 1、Docker 自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。 黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快,Docker 用户最好将 Docker 升级为最新版本。 2、Docker 源码问题 Dock
docker————TLS加密通讯
weixin_51432789的博客
03-31 581
目录一、Docker容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器最小化六、Docker remote api 访问控制七、限制流量流向八、镜像安全九、Docker-TLS加密通讯⭐ 一、Docker容器与虚拟机的区别 1、隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟
Docker——Docker安全隐患及TLS加密通讯
weixin_51613313的博客
04-01 463
Docker安全隐患及TLS加密通讯一、Docker 存在的安全问题1.1 Docker 自身漏洞check created userscheck OS usersCheck sudo usersCheck ssh key pairAdd your checks in below 一、Docker 存在的安全问题 1.1 Docker 自身漏洞 作为一款开源的应用 Docker 本身在实现上就会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。 黑客常用的攻击手段主要有代码执行、权限提升、
MySQL系列——docker-compose部署Mysql8主从复制
最新发布
Star_Inori的博客
10-24 1495
docker-compose一键部署Mysql8主从复制
Docker——docker安全、Docker remote api 访问控制、TLS加密通讯
ML908的博客
04-28 2457
文章目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、 Docker 源码问题三、Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、 DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器...
容器与容器云——docker安全(TLS加密通讯
weixin_45683092的博客
04-29 429
docker 容器与虚拟机的区别 隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核。 而 Docker 容器则是通过隔离的方式,将文件系统、进程、设备、网络等资源进行隔离,再对权限、CPU资源等进行控制,最终让容器之间相互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源 性能与损...
Docker学习(十):Docker Compose
BearStarX的博客
02-22 822
一、Docker Compose介绍 1、Compose简介 Docker Compose是Docker官方的编排工具,可以让用户通过编写一个简单的模板文件,快递的创建和管理基于Docker容器的应用集群,负责实现对Docker容器集群进行快速编排。 我们知道使用一个Dockerfile模板文件,可以让用户很方便地定义一个单独的应用容器。然而在日常工作中,经常会碰到需要多个容器相互配合来完成...
Docker资源控制详细操作
weixin_45724795的博客
04-20 957
前言:Cgroup是C ontrol group的简写,是Linux内核提供的一种限制使用物理资源的机制,这些资源主要包括CPU、内存、blkio。 文章目录一、对CPU的控制1.限制CPU使用速率1)理解2)CPU压力测试2.多任务按比例分享CPU1)理解2)测试2.1 按比例分配2.2分别进容器2.3验证结果3.限制CPU内核使用1)理解2)测试二、对内存使用的限制1.理解2.测试三、对blk...
Docker数据管理与,网络通信与Docker镜像创建方法
weixin_45724795的博客
04-19 823
前言:通过对Docker镜像的创建方法,Docker数据管理以及Docker网络通信这三个方面,可以使用户自定义创建镜像,制定更符合企业需求的容器,以及实现容器中的数据迁移和外网用户对容器中数据的访问 文章目录一、Docker镜像的创建方法1.基于已有镜像创建1)实例2.基于本地模板创建1)实例3.基于Dockerfile创建Docker镜像的分层1)实例1.1 建立工作目录1.2 创建并编写Do...
Consul-Template+Nginx反向代理动态查询Consul群集信息实现自动化
weixin_45724795的博客
04-26 644
前言: 之前对consul进行了相关了解以及部署点此查看 在之前的操作中,通过node1的主机对nginx以及http服务进行了容器的创建并成功的加入到了consul群集当中 其实可以登录node1节点并指定端口查看到nginx与http服务界面 指定的83,84端口和88,89端口都可以访问 下面将通过Template工具以及Nginx的反向代理动态查询Consul群集...
Docker-Compose部署及编排
weixin_45724795的博客
04-26 589
前言:Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 文章目录一、概述1.Docker-Compose简介2.作用3.关于YML文件二、部署1.使用步骤2.环境部署3.部署docker-compose三、总结1.YML文件的结构2.YML文件常用字段3.Docker-compose常用命令 一、概述 1.Docker-Compose简介 ...
构建Docker镜像实战——nginx、sshd、systemctl、tomcat和mysql叠罗汉
weixin_45724795的博客
04-22 508
前言:Nginx是一款轻量级的Web服务器。Tomcat是一款免费开源的轻量级Web服务器,在中小型企业和并发访问量不高的场合普遍使用,是开发和调试JSP程序的首选。MySQL是当下最流行的关系型数据库,LNMP是相应的Linux系统下的Nginx、MySQL、PHP相结合而构建成的动态网站服务器架构。以上这些都可以使用Dockerfile文件的方式来创建其Docker镜像 文章目录一、概念回顾二...
Docker简单介绍与基本操作
weixin_45724795的博客
04-18 413
前言:Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。 文章目录一、概述1.Docker概念1)Docker是什么2)Docker与虚拟机的区别3)Docker的使用场景2.Docker的核心概念及安装方式1)Docker核心概念2)cent...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值