今天也来点Docker,Docker-TLS加密通讯

最新推荐文章于 2024-05-05 18:08:20 发布
最新推荐文章于 2024-05-05 18:08:20 发布
阅读量198 收藏
点赞数
分类专栏: docker Linux 文章标签: docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49104298/article/details/110563574
版权
Linux 同时被 2 个专栏收录
38 篇文章 0 订阅
订阅专栏
docker
13 篇文章 0 订阅
订阅专栏

这里写目录标题

一、TLS加密通讯的概述

  • 用TLS加密通讯原因
    为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。
  • 对称密钥,例如DES、3DES、AES,长度不同,长度越长安全越高,解密速度越慢。
  • 非对称密钥,分为公钥和私钥,例如RSA 公钥:所有人可知(锁),私钥(钥匙)个人身份信息,不可抵赖。
  • 封装在证书中:个人信息,密钥,有效期

二、TLS加密通讯的部署

2.1、搭建环境

节点地址安装软件
master20.0.0.50docker-ce
Client20.0.0.60docker-ce

2.2 部署过程

  • Server
[root@cgroup ~]# hostnamectl set-hostname master
[root@cgroup ~]# bash
[root@master ~]#systemctl stop firewalld
[root@master ~]# setenforce 0

[root@master ~]# mkdir /tls
[root@master ~]# cd /tls

[root@master tls]# vim /etc/hosts
127.0.0.1   master

#创建ca密钥,输入密码123123
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
......................................................................................................................................++
.........................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

#创建ca证书,输入密码123123
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:

#创建服务器私钥
[root@master tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.........................................++
......................................++
e is 65537 (0x10001)

#签名私钥
[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

#使用ca证书与私钥证书签名,输入密码123123
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:

#生成客户端密钥
[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
........................................................................................................................................................................................................++
..++
e is 65537 (0x10001)

#签名客户端
[root@master tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr

#创建配置文件
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf

#签名证书,输入密码123123
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

#删除多余文件
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr

#查看生成文件
[root@master tls]# ls
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem

  • 配置docker
    vim /lib/systemd/system/docker.service
    在这里插入图片描述

  • 重启进程
    systemctl daemon-reload

  • 重启docker服务
    systemctl restart docker

  • 将 /tls/ca.pem /tls/cert.pem /tls/key.pem 三个文件复制到另一台主机

[root@master tls]# scp ca.pem root@20.0.0.60:/etc/docker/
The authenticity of host '20.0.0.60 (20.0.0.60)' can't be established.
ECDSA key fingerprint is SHA256:N36uwPtXA/RHGdEsLwiaV6x0pMPitNj+MSO3APPZtC4.
ECDSA key fingerprint is MD5:14:cf:b4:13:36:a1:ea:c6:dc:01:f5:83:65:ca:b0:39.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '20.0.0.60' (ECDSA) to the list of known hosts.
root@20.0.0.60's password: 
ca.pem                                                                100% 1765     2.6MB/s   00:00    
[root@master tls]# scp cert.pem root@20.0.0.60:/etc/docker/
root@20.0.0.60's password: 
cert.pem                                                              100% 1696     1.3MB/s   00:00    
[root@master tls]# scp key.pem root@20.0.0.60:/etc/docker/
root@20.0.0.60's password: 
key.pem                                                               100% 3247     1.3MB/s   00:00

2.3 验证加密通讯

  • Server上验证
[root@master tls]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
 Go version:        go1.13.15
 Git commit:        4484c46d9d
 Built:             Wed Sep 16 17:03:45 2020
 OS/Arch:           linux/amd64
 Experimental:      false

Server: Docker Engine - Community
 Engine:
  Version:          19.03.13
  API version:      1.40 (minimum version 1.12)
  Go version:       go1.13.15
  Git commit:       4484c46d9d
  Built:            Wed Sep 16 17:02:21 2020
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.3.7
  GitCommit:        8fba4e9a7d01810a393d5d25a3621dc101981175
 runc:
  Version:          1.0.0-rc10
  GitCommit:        dc9208a3303feef5b3839f4323d9beb36df0a9dd
 docker-init:
  Version:          0.18.0
  GitCommit:        fec3683
  • Client上验证
[root@client ~]# vim /etc/hosts
20.0.0.50 master

[root@client ~]# cd /etc/docker/
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
 Go version:        go1.13.15
 Git commit:        4484c46d9d
 Built:             Wed Sep 16 17:03:45 2020
 OS/Arch:           linux/amd64
 Experimental:      false

Server: Docker Engine - Community
 Engine:
  Version:          19.03.13
  API version:      1.40 (minimum version 1.12)
  Go version:       go1.13.15
  Git commit:       4484c46d9d
  Built:            Wed Sep 16 17:02:21 2020
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.3.7
  GitCommit:        8fba4e9a7d01810a393d5d25a3621dc101981175
 runc:
  Version:          1.0.0-rc10
  GitCommit:        dc9208a3303feef5b3839f4323d9beb36df0a9dd
 docker-init:
  Version:          0.18.0
  GitCommit:        fec3683
糖球溜溜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1883
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
docker安全---Docker-TLS加密通讯
weixin_51725822的博客
04-02 202
docker安全---Docker-TLS加密通讯一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化六、Docker remote api 访问控制七、限制流量流向八、镜像安全九、Docker-TLS加密通讯1、创建ca密钥2、创建ca证书3、创建服务器私钥4、
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1333
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
ECS中Docker配置TLS和idea链接dokcer实践
jhyfugug的博客
11-03 261
Jmeter+influxdb+Grafana+Docker 初步实践
Docker远程访问安全问题与TLS配置并通过IDEA连接
最新发布
qq_52726195的博客
05-05 737
保存ca.pem、cert.pem、key.pem、server-cert.pem、server-key.pem这五个文件,将ca.pem、server-cert.pem、server-key.pem保存至服务器自定义位置。将ca.pem、cert.pem、key.pem下载保存到电脑,我保存在了D://Software/Docker/cert下。执行过程中要求输入pass phrase,输入一个自定义的密码即可,比如987654321,需要多次输入,保持一致即可。记得修改path为文件实际所在位置。
Docker 配置 TLS
贝克街的流浪猫
04-03 1033
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker 以安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
Docker?----docker生产环境之TLS通讯加密
LPFAM的博客
09-26 386
Dockerdocker生产环境之TLS通讯加密 文章目录Docker---docker生产环境之TLS通讯加密一.TLS介绍二.在docker中搭建TLS加密2.1: 具体操作1(master上操作)2.2: 具体操作2(client上操作) 一.TLS介绍 TLS(Transport Layer Security Protocol):安全传输层协议 TLS用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议由TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)
关于docker安全之Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
使用TLS加密通讯远程连接Docker的示例详解
01-20
通过以上步骤,Docker守护程序和客户端之间的通信将受到TLS加密的保护,防止未经授权的第三方窃听或篡改数据。这种安全配置对于在生产环境中管理和部署容器至关重要,确保了数据和资源的安全性。
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
jenkins:使用HTTPS的Docker Jenkins Swarm-Ready
02-05
【标题】"jenkins:使用HTTPS的Docker Jenkins Swarm-Ready" 涉及到的主要知识是关于Jenkins、Docker、Swarm集群以及HTTPS安全通信。以下是对这些技术的详细解释: 1. **Jenkins**:Jenkins 是一个开源的持续集成...
docker-stubby-dnsmasq:Stubby + Dnsmasq用于TLS上的DNS和可选DHCP的Docker映像
03-03
Stubby + Dnsmasq + Docker 这是什么? 这是一个包含Stubby和Dnsmasq的Docker映像。 从: Stubby是充当本地DNS隐私存根解析器(使用TLS上的DNS)的应用程序。 Stubby对从客户端计算机(台式机或便携式计算机)...
使用Docker在5分钟内设置一个私有密码库
weixin_26722031的博客
07-31 1284
收回隐私 (Taking Privacy Back) Github Repo here! Github回购在这里 ! With everything happening in the world many people are spending a lot more time at home, myself included. Due to that I got to spend the la...
docker 安全--TLS通讯加密
weixin_45691464的博客
04-28 165
Docker 存在的安全问题 1.Docker 自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docker 升级为 最新版本。 2.Docker 源码问题 Docker 提供了 Docker hub,...
docker基础(21):配置CA证书远程发布项目
不积跬步,无以至千里
03-22 1609
如果你没有docker远程发布的经验,建议先查看简单的发布方式 docker基础(15):idea插件远程发布项目 文章目录概述操作流程配置证书&开启远程端口2测试配置idea 概述 生产环境禁止将docker远程发布端口无密钥的暴露到公网,否则分分变成矿机。 #编辑/lib/systemd/system/docker.service vim /lib/systemd/system/docker.service #开启远程(不要在公网这么干) ExecStart=/usr/bin/dockerd -
Docker TLS配置
fuzhaohui202的专栏
08-28 1865
公司最近采用了Spring Boot架构以Docker容器服务作为载体给客户提供服务,但是最近碰到一个严重的安全问题,这也是这几个月来一直忙碌更换新的架构而忽视的安全问题,但是最近随着产品上线客户的使用安全问题被赤裸裸的暴露出来,好在Docker提供了证书安全保护方案,下面就来讲一下配置与采过的坑(其中命令都是官网提供,具体意义请查询官网https://docs.docker.com/engi...
Docker Secret加密
恋恋风辰的技术博客
12-22 1817
Docker Secret 在我们启动docker或者service需要指定密码,这种密码我们有时不想被别人知道,所以可以采用docker secret方式管理。 创建secret可以有两种方式,一种通过文件创建,一种通过命令行创建 我们在本地创建一个文件passwd zack1024 接下我们可以通过如下命令创建secret docker secret create my-pw passwd 运行后可以看到屏幕输出如下 qq463dkw4da9s05rwinntmo09 这是一
Docker - 实战TLS加密通讯
Gblfy_Blog
06-12 1152
使用说明 演示环境(centos7,docker17.06.0-ce) 创建一个文件夹 mkdir /ssl cd /ssl 创建ca密钥 openssl genrsa -aes256 -out ca-key.pem 4096 创建ca证书 openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out...
docker 的--insecure-registry 怎么用
06-02
默认情况下,Docker 要求所有仓库都必须使用 TLS 加密来保护通信安全,这意味着必须使用有效的 SSL 证书。但是,如果您使用的是自签名证书或未完全信任的证书,那么 Docker 将无法建立连接。 使用 `--insecure-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值