docker_tls配置

最新推荐文章于 2024-04-29 20:15:05 发布
最新推荐文章于 2024-04-29 20:15:05 发布
阅读量357 收藏
点赞数
文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50668398/article/details/129723633
版权

docker 配置tls加密的tcp远程连接

修改docker启动配置,启动参数加上这些 vi /lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

执行生成证书脚本 vi tls.sh 证书生成路径/etc/docker/ca/

#创建 Docker TLS 证书    
#!/bin/bash
 

SERVER="0.0.0.0"  #需要修改为本机ip
PASSWORD="keyunitor"
COUNTRY="CN"
STATE="shanghai"
CITY="shanghai"
ORGANIZATION="Dev"
ORGANIZATIONAL_UNIT="Dev"
EMAIL="test@xxx.com"

#临时文件夹
TEMP_DIR='/etc/docker/ca'

mkdir -p ${TEMP_DIR}
cd ${TEMP_DIR}

#生成`ca-key.pem` 文件 设置密码
openssl genrsa -aes256 -passout pass:${PASSWORD} -out ca-key.pem 4096 
echo "生成ca私钥完成"


#生成 `ca.pem` 文件,设置国家、省市、组织名、邮箱

openssl req -new -x509  -passin "pass:${PASSWORD}"  -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=${COUNTRY}/ST=${STATE}/L=${CITY}/O=${ORGANIZATION}/OU=${ORGANIZATIONAL_UNIT}/emailAddress=${EMAIL}"
echo "填写配置信息完成"

#生成 `server-key.pem` 文件

openssl genrsa -out server-key.pem 4096

#生成 `server.csr` 文件

openssl req -subj "/CN=${SERVER}" -sha256 -new -key server-key.pem -out server.csr

#生成配置文件 `extfile.cnf` 

echo subjectAltName = IP:${SERVER},IP:0.0.0.0 > extfile.cnf

echo extendedKeyUsage = serverAuth >> extfile.cnf

#生成服务器证书,需要输入之前输入的密码
openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem  -passin "pass:${PASSWORD}"  \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

echo "生成自签证书完成"

#添加配置,使密钥适合客户端身份验证
echo extendedKeyUsage = clientAuth >> extfile.cnf
#生成 `key.pem` 文件
openssl genrsa -out key.pem 4096
#创建`client.csr`文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
#生成证书
openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:${PASSWORD}" \-CAcreateserial -out cert.pem -extfile extfile.cnf
echo "生成client自签证书完成"
rm -v -f client.csr server.csr
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
echo "复制证书到指定目录"
cp server-*.pem  /etc/docker/
cp ca.pem /etc/docker/

systemctl daemon-reload 
systemctl restart docker

执行脚本

  sh tls.sh

脚本预写,可不执行 重启docker服务

systemctl daemon-reload
systemctl restart docker

通过docker命令行测试端口开放是否成功 ps:如0.0.0.0运行失败换成本机ip

cd /etc/docker/ca/
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=0.0.0.0:2375 version


结果:

Client: Docker Engine - Community
 Version:           20.10.17
 API version:       1.41
 Go version:        go1.17.11
 Git commit:        100c701
 Built:             Mon Jun  6 23:05:12 2022
 OS/Arch:           linux/amd64
 Context:           default
 Experimental:      true

Server: Docker Engine - Community
 Engine:
  Version:          20.10.17
  API version:      1.41 (minimum version 1.12)
  Go version:       go1.17.11
  Git commit:       a89b842
  Built:            Mon Jun  6 23:03:33 2022
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.6.6
  GitCommit:        10c12954828e7c7c9b6e0ea9b0c02b01407d3ae1
 runc:
  Version:          1.1.2
  GitCommit:        v1.1.2-0-ga916309
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0
仙桃_马东锡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker_log_redirect
04-01
docker_log_redirect 概述: docker_log_redirect使您能够快速设置所有日志并将其集中到一个中央目录中。 所有配置都是通过一个简单易用的YAML配置文件进行设置的,并且您可以根据需要集中添加尽可能多的Docker容器日志重定向条目。 无需修改您的Docker容器配置。 如果您想对这些集中的docker日志发出警报,请查看[software_log_monitor]( )。 计划亮点: 动态添加您要重定向的Docker容器。 选择排除与关键字匹配的行。 非常适合不需要且会造成混乱的docker日志输出。 每个docker容器重定向条目都在其专用线程下运行。 电子邮件支持标准端口25或TLSDocker重定向线程启动或失败时的电子邮件通知。 可自定义的程序日志输出和调试选项。 YAML文件允许动态更新,每个循环将使用更新的YAML配置
docker建立TLS证书连接
a7758775的博客
11-01 974
使用TLS证书保护Docker 当我们使用远程调用docker时,未设置TLSdocker,将可以被任何人调用,这是极其危险的。 docker原生提供了使用TLS证书(客户端和服务端)进行安全保证。 创建证书 使用openssl来创建CA,并签署秘钥/证书。 首先创建一个certs目录,并内置三个子目录 ca、client、server。 $ mkdir -p ~/certs/{ca,clien...
实战「 docker TLS加密通讯 」
多一份贡献,多一份环保
07-08 8079
快速配置一个最简单的docker TLS加密通讯使用说明演示环境(centos7,docker17.06.0-ce)创建一个文件夹mkdir /ssl创建ca密钥openssl genrsa -aes256 -out ca-key.pem 4096创建ca证书openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*"
docker配置TLS 2376
白_的博客
02-18 1087
1 复制执行shell脚本,只需改动SERVER即可 #创建 Docker TLS 证书 #!/bin/bash #相关配置信息 # docker主机IP SERVER="ip" # 密码 PASSWORD="2cx&BUjsV4u%3Tz9" # 国家 COUNTRY="CN" # 省份 STATE="广东省" # 城市 CITY="深圳市" # 机构名称 ORGANIZATION="白的公司" # 机构单位 ORGANIZATIONAL_UNIT="白的单位" # 邮箱 EMAIL="lius
centos7为docker配置远程TLS验证,端口设定为2376
bc_aptx4869的博客
07-11 5055
dockerTLS,docker远程访问.
docker配置tls (一) 2376安全配置
lanwp5302的博客
04-17 5055
一、官方资料 官网资料 https://docs.docker.com/engine/reference/commandline/dockerd/ 创建证书步骤 官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/ 二、创建证书 生成的证书 ca-key.pem ca.pem ...
Docker开启TLS认证
qq_35156626的博客
12-21 665
修复Docker远程API调用漏洞,启用TLS认证
Docker 配置 TLS
贝克街的流浪猫
04-03 982
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker 以安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
ECS中Docker配置TLS和idea链接dokcer实践
jhyfugug的博客
11-03 197
Jmeter+influxdb+Grafana+Docker 初步实践
SSH,SSL,TLS,PPP,L2TP,PPTP,IPSEC简介及比较
兼容并蓄终宽阔,若谷虚怀鱼自游
03-14 3340
<br />SSL:指定了一种在应用程序协议(http,telnet,nntp,ftp)和TCP/IP之间提供数据安全分<br />层的机制。为tcp/ip连接提供数据加密,服务器认证,消息完整性以及可选的客户机认证<br />。<br /> SSL与TLS的区别:TLS可以看做是SSL的升级版本,主要区别是所支持的加密算法不同。<br /> <br />SSH:SSH是一种在不安全网络上用户安全远程登陆和其他安全网络服务的协议。它提供了<br />对安全远程登陆,安全文件传输和安全TCP/IP和X-Wi
Docker启用TLS实现安全配置的步骤
09-29
主要给大家介绍了关于Docker启用TLS实现安全配置的方法步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
docker-client-clj:用 Clojure 编写的 Docker 客户端。 支持 TLSHTTPS
06-01
默认情况下,配置是从DOCKER_HOST 、 DOCKER_CERT_PATH和DOCKER_VERIFY_TLS环境变量中DOCKER_VERIFY_TLS 。 如果DOCKER_VERIFY_TLSDOCKER_CERT_PATH都已设置,则从磁盘读取凭据并使用 https。 可以通过将配置传递...
使用portainer连接远程docker的教程
09-29
Portainer是一个轻量级的docker环境管理UI,可以用来管理docker宿主机和docker swarm集群,这篇文章主要介绍了使用portainer连接远程docker的方法,需要的朋友可以参考下
使用 Docker 自建一款怀旧游戏之 - 超级马里奥
Toasten
04-25 650
《 超级马里奥 》(Super Mario)是任天堂公司创造的一款经典游戏系列,是世界上最知名、最成功的游戏之一。这个系列由日本设计师宫本茂于 1985 年创造,最初的游戏名为《超级马里奥兄弟》(Super Mario Bros.),推出后风靡全球。
Docker consul的容器服务更新与发现
最新发布
YUEAwb的博客
04-29 512
consul是google开源的一个使用go语言开发的服务管理软件。支持多数据中心、分布式高可用的、服务发现和配置共享。采用Raft算法,用来保证服务的高可用。内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。服务部署简单,只有一个可运行的二进制的包。每个节点都需要运行agent,他有两种运行模式server 和 client。
Docker单独安装xiaoya-alist
wbsu2004的博客
04-29 1149
小雅是资源聚合站,通过自己的阿里云盘中转缓存资源,可以实现大量的资源在线播放。
[docker] docker 安全知识 - docker 系统性简介
GoldenaArcher的博客
04-27 901
今年的 security training 选的 topic 就是 docker 了,为了过这个 training 于是先把 docker 过了一遍(笑死之前干啃的时候确实觉得不太能看下去,不过走了一遍实践之后发现就比较好理解。
DockerDocker的网络与资源控制
Mo_nor的博客
04-26 923
直接使用bridge模式,是无法支持指定IP运行docker的,例如执行以下命令就会报错可以先定义网络,再使用指定IP运行docker#docker1 为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。#mynetwork 为执行 docker network list 命令时,显示的bridge网络模式名称。
记录k8s以docker方式安装Kuboard v3 过程
weixin_67727883的博客
04-28 355
记录k8s以docker方式安装Kuboard v3 过程
DockerTLS配置文档
08-12
以下是DockerTLS配置文档: 1. 首先,确保您已经安装了Docker。如果没有安装,请参考Docker官方文档进行安装。 2. 生成TLS证书和密钥: - 创建一个用于存储证书和密钥的目录,例如 `/etc/docker/certs.d`。 - ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值