Docker-TLS加密通讯 超实用的通讯方式

最新推荐文章于 2024-04-09 12:20:40 发布
最新推荐文章于 2024-04-09 12:20:40 发布
阅读量149 收藏 1
点赞数 1
分类专栏: docker 文章标签: docker ssl openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51614581/article/details/115355726
版权

Docker-TLS加密通讯

Docker-TLS加密通讯

  • 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。
mkdir /tls
cd /tls

hostnamectl set-hostname master
su

vim /etc/hosts
127.0.0.1   master
//创建ca密钥
openssl genrsa -aes256 -out ca-key.pem 4096  //输入123123
//创建ca证书
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem  //输入123123
//创建服务器私钥
openssl genrsa -out server-key.pem 4096 
//签名私钥
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
//使用ca证书与私钥证书签名,输入123123
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
//生成客户端密钥
openssl genrsa -out key.pem 4096
//签名客户端
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
//创建配置文件
echo extendedKeyUsage=clientAuth > extfile.cnf
//签名证书,输入123123,需要(签名客户端,ca证书,ca密钥)
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
//删除多余文件
rm -rf ca.srl client.csr extfile.cnf server.csr
//配置docker
vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

//重启进程
systemctl daemon-reload
//重启docker服务
systemctl restart docker

//将 /tls/ca.pem /tls/cert.pem /tls/key.pem 三个文件复制到另一台主机
scp ca.pem root@192.168.199.50:/etc/docker/
scp cert.pem root@192.168.199.50:/etc/docker/
scp key.pem root@192.168.199.50:/etc/docker/

//本地验证
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
docker pull nginx



//client上操作
vim /etc/hosts
192.168.199.40 master

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

Version:           20.10.5
 API version:       1.41
 Go version:        go1.13.15
 Git commit:        55c4c88
 Built:             Tue Mar  2 20:33:55 2021
 OS/Arch:           linux/amd64
 Context:           default
 Experimental:      true

Server: Docker Engine - Community
 Engine:
  Version:          20.10.5
  API version:      1.41 (minimum version 1.12)
  Go version:       go1.13.15
  Git commit:       363e9a8
  Built:            Tue Mar  2 20:32:17 2021
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.4.4
  GitCommit:        05f951a3781f4f2c1911b05e61c160e9c30eaa8e
 runc:
  Version:          1.0.0-rc93
  GitCommit:        12644e614e25b05da6fd08a38ffa0cfe1903fdec
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0
  • 以下放实验图片

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

朝花夕誓、
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DockerTLS加密通讯详解
weixin_62453238的博客
03-15 5232
TLS安全加密配置 3.1 实验环境 两台服务器 master:192.168.179.121 client:192.168.179.122 3.2 实验操作 服务器端修改ip地址和其对应主机名的文件 服务器客户端修改ip地址和服务器端对应主机名的文件 创建ca密钥 创建ca证书 创键服务器私钥 创建签名私钥 使用ca证书与私钥证书签名 生成客户端密钥 签名客户端 创建配置文件 签名证书,需要(签名客户端,ca证书,ca密钥) ...
Docker容器----TLS加密通讯
XuMin6的博客
04-28 552
Docker容器----TLS加密通讯 一:介绍TLSTLS (Transport Layer Security)指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL(Secure Sockets Layer),即安全套接字层。 1、TLS的目的 ​ 目的是建立起一个安全的通道。在建立安全通道时可以安全地传输数据...
docker pull 镜像失败报Error response from daemon: Get “https://registry-1.docker.io/v2/“: tls: failed to
最新发布
qq_45646878的博客
04-09 474
报错Error response from daemon: Get “https://registry-1.docker.io/v2/”: tls: failed to verify certificate: x509: certificate has expired or is not yet valid: current time 2023-12-02T22:44:18+08:00 is before 2024-04-04T00:00:00Z。1.查看系统时间与硬件时间。校准硬件时间和软件时间一致。
【软件安装】Docker pull 镜像时出现 类似 TLS 错误
Damu
09-29 3836
在拉取镜像时,由于国内网络的原因,可能会出现类似如下错误: docker: Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: TLS handshake timeout. 这是由于链接时导致的,这里需要修改 docker 的配置文件,对于 windows 或 mac ,可以直接在 docker desktop 中的设置添加镜像即可,如下图: 在上图中位置添加上阿里源的镜像: "registry-m
docker安全及TLS安全加密通讯 CA证书
TheRichCat的博客
12-03 354
前言为什么docker需要使用TLS加密通讯TLS为daocker部署tls加密命令选项注释 为什么docker需要使用TLS加密通讯 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。 因为docker的容器与宿主机共享系统核心,所以如果容器被攻陷呢么宿主机将受到牵连。 TLS TLS 全称为Transport Layer Security,意指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是
关于docker安全之Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
使用TLS加密通讯远程连接Docker的示例详解
01-20
通过以上步骤,Docker守护程序和客户端之间的通信将受到TLS加密的保护,防止未经授权的第三方窃听或篡改数据。这种安全配置对于在生产环境中管理和部署容器至关重要,确保了数据和资源的安全性。
docker-mailserver:使用Docker的全栈但简单的邮件服务器(SMTP,IMAP,LDAP,反垃圾邮件,防病毒等)
02-02
配合SSL/TLS加密,确保数据传输安全。 3. **LDAP服务**:通过集成LDAP,可以集中管理用户账户和权限,方便扩展和备份。SASLauthd-ldap模块使得邮件服务器能利用LDAP进行用户身份验证。 4. **SSL/TLS**:使用Let's ...
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
docker-compose-letsencrypt-nginx-proxy-companion:与letencrypt集成的自动化docker nginx代理
02-02
标题中的“docker-compose-letsencrypt-nginx-proxy-companion”是一个基于Docker Compose的解决方案,用于集成Let's Encrypt证书和Nginx代理。这个项目旨在自动化处理SSL/TLS证书的获取和更新,同时通过Nginx作为...
harbor安装以及基本使用方法
weixin_51614581的博客
03-29 5201
harbor安装以及基本使用方法一,部署 Harbor 服务1.下载 Harbor 安装程序2. 配置 Harbor 参数文件3. 启动 Harbor4. 查看 Harbor 启动镜像二 ,登录网页登录下载镜像进行测试镜像打标签上传镜像到Harbor进入ui界面查看 查看 Docker-Compose 版本判断安装是否成功 cp docker-compose /usr/local/bin/ docker-compose -v 一,部署 Harbor 服务 Harbor 被部署为多个 Docker
Dockerfile 构建mysql镜像
weixin_51614581的博客
03-25 4551
Dockerfile 构建mysql镜像1,建立文件2,构建my.cnf文件3,构建Dockerfile文件4,构建镜像5,构建容器6,进入容器给权限7,登录mysql8,在宿主机yum安装msyql9,客户端连接MySQL容器 1,建立文件 mkdir mysqld 2,构建my.cnf文件 cd mysqld vim my.cnf [client] port = 3306 socket=/usr/local/mysql/mysql.sock [mysqld] user = mysql based
Cgroup 资源配置方法
weixin_51614581的博客
03-30 865
Cgroup 资源配置方法Cgroup 资源配置方法实操使用 stress 工具测试 CPU 和内存CPU 周期限制CPU Core 控制CPU 配额控制参数的混合使用内存限额bps 和 iops 的限制 Cgroup 资源配置方法 Docker通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了常见的资源配额和使用量控制。 Cgroup 是 Control Groups 的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 CP
consul部署以及配置template
weixin_51614581的博客
03-26 463
consul部署以及配置template一,consul部署查看集群信息容器服务自动加入nginx集群1.安装 Gliderlabs/Registrator Gliderlabs/Registrator2,测试服务发现功能是否正常3,验证 http 和 nginx 服务是否注册到 consul4,准备template nginx 模板文件5,编译安装nginx6,配置nginx7,配置并启动 template 一,consul部署 创建文件 mkdir /root/consul cp consul_
compose 部署及启动
weixin_51614581的博客
03-29 344
compose 部署及启动环境部署所有主机安装docker环境(内容为docker基础)下载compose 环境部署所有主机安装docker环境(内容为docker基础) yum install -y docker-ce tree 下载compose curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-c
私有仓库创建,导入,导出
weixin_51614581的博客
03-23 268
私有仓库创建,导入,导出1,创建私有库2,更改配置文件3,创建容器4,创建容器5,更改标记6,上传镜像7,获取私有仓库列表8,查看9,测试 1,创建私有库 docker pull registry 2,更改配置文件 vim /etc/docker/daemon.json "insecure-registries":["192.168.199.40:5000"], "registry-mirrors": ["https:*.com] } 3,创建容器 systemctl restart docker
构建apache容器
weixin_51614581的博客
03-24 256
构建apache容器1,建立文件2,编写Dockerfile文件3,编写启动文件4,编写网页主页文件5,建立镜像6,指定端口建立容器7,登录指定端口查看界面 1,建立文件 mkdir /opt/apache cd /opt/apache/ 2,编写Dockerfile文件 vim Dockerfile #基础镜像 FROM centos:7 #维护镜像人员信息 MAINTAINER Ruyi #镜像操作指令安装软件 RUN yum -y update RUN yum -y install httpd
Docker基本安装以及初步优化
weixin_51614581的博客
03-26 186
Docker基本安装以及初步优化一,Docker基本安装1,安装依赖包2,设置阿里云镜像源3,安装 Docker-CE4,关闭防火墙二,镜像加速三,网络优化 一,Docker基本安装 1,安装依赖包 yum install -y yum-utils device-mapper-persistent-data lvm2 2,设置阿里云镜像源 yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/dock
Docker容器基本操作 细!!!!
weixin_51614581的博客
03-23 180
Docker容器基本操作1,创建容器2,查看容器运行状态3,开启容器4,进入容器5,启动执行命令查看系统根目录6,终止运行7,删除容器8,容器导出9,容器导入 1,创建容器 docker create -it centos:7 /binbash -i:让容器的标准输入保持打开 -t:让Docker分配一个伪终端 2,查看容器运行状态 docker ps [选项] -a:列出所有容器,包含未运行的容器。 3,开启容器 docker start [容器id] 4,进入容器 docker exec
traefik 结合 docker-compose 的快速安装及使用
06-02
您好!感谢您的提问。以下是 Traefik 结合 docker-compose 的快速安装及使用步骤: 1. 首先,您需要安装 Dockerdocker-compose 工具。您可以参考 Docker 官方文档进行安装。 2. 创建一个 docker-compose.yml 文件,并添加以下内容: ``` version: '3' services: reverse-proxy: image: "traefik:v2.0" container_name: "traefik" ports: - "80:80" - "443:443" volumes: - "/var/run/docker.sock:/var/run/docker.sock:ro" - "./traefik.yml:/traefik.yml:ro" - "./certs:/certs" ``` 这个 docker-compose 文件中包含了 Traefik 服务的配置,它会监听端口 80 和 443,并将请求转发到相应的 Docker 容器中。 3. 创建一个 traefik.yml 文件,包含 Traefik 的配置信息。以下是一个简单的 traefik.yml 文件示例: ``` providers: docker: endpoint: "unix:///var/run/docker.sock" exposedByDefault: false ``` 这个 traefik.yml 文件中指定了 Traefik 使用 Docker 作为服务提供者,并监听 Docker 的 Unix Socket。 4. 在 certs 目录下创建一个 TLS 证书,用于 HTTPS 请求。您可以使用 OpenSSL 工具生成自签名证书,例如: ``` mkdir certs openssl req -x509 -nodes -newkey rsa:2048 -keyout certs/key.pem -out certs/cert.pem -days 365 ``` 这个命令会在 certs 目录下生成一个 key.pem 和 cert.pem 文件,用于 HTTPS 请求的 TLS 加密。 5. 运行 docker-compose 命令启动 Traefik 服务: ``` docker-compose up -d ``` 现在,Traefik 服务已经启动,并监听端口 80 和 443。您可以通过访问 Traefik 的 IP 地址来测试服务是否正常工作。 6. 配置其他服务加入到 Traefik 的代理中,例如您的 Web 应用程序。在您的应用程序的 Docker Compose 文件中添加以下标签: ``` labels: - "traefik.enable=true" - "traefik.http.routers.my-app.rule=Host(`my-app.example.com`)" - "traefik.http.routers.my-app.entrypoints=websecure" - "traefik.http.routers.my-app.tls=true" - "traefik.http.routers.my-app.tls.certresolver=letsencryptresolver" ``` 这个标签中指定了您的应用程序需要加入 Traefik 的代理中,并指定了域名、TLS 加密等信息。 7. 重新启动您的应用程序 Docker 容器,Traefik 会自动将请求转发到相应的应用程序中。 至此,您已经完成了 Traefik 结合 docker-compose 的快速安装及使用。希望这些信息能对您有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值