以HTTPS的方式运行docker

最新推荐文章于 2024-06-04 17:36:39 发布
最新推荐文章于 2024-06-04 17:36:39 发布
阅读量6.3k 收藏 1
点赞数
分类专栏: docker

以HTTPS的方式运行docker

保护Docker daemon socket

默认情况下,Docker以一种无网络的Unix socket方式运行。也可以通过选项设置使用HTTPsocket。

如果需要通过网络以一种安全的方式访问Docker,可以通过tlsverify标签来允许TLS,使用tlscacert标签指定可信的CA证书。

在后台守护模式中,仅运行通过CA签名的证书的客户端连接访问。在客户端模式下,仅运行一个通过CA签名了的证书来连接客户端

警告: 管理一个CA与使用TLS是一个高级话题。在生产环境中使用之前,请先去了解OpenSSL, x509与TLS。

警告: 一下TLS命令仅适用于Linux上可用证书的生成。macOS上的有个OpenSSL版本生成的证书与Docker有冲突。
使用OpenSSL创建CA, server与client keys

注意: 使用Docker所在宿主机的DNS名称替换所有以下例子$HOST
生成CA公钥与私钥:

$ openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
...........................................................................................................................................................................++
........++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:Queensland
Locality Name (eg, city) []:Brisbane
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc
Organizational Unit Name (eg, section) []:Sales
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []:Sven@home.org.au

现在已经有一个CA,可以创建服务端的密钥与证书签名请求了(certificate signing request CSR)。确保“Common Name” (例如, 服务器的FQDN或者你的名字) 与你需要连接的Docker的宿主机相匹配。

注意: 使用Docker daemon所在主机的DNS名字替换所有以下例子中的$HOST

$ openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................++
.................................................................................................++
e is 65537 (0x10001)
$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

$ openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................++
.................................................................................................++
e is 65537 (0x10001)
$ openssl req -subj "/CN=$HOST" -sha256 -new -key key.pem -out client.csr

使用CA签名公钥:
TLS可能来自于某个DNS名字或IP地址,在创建证书的时候需要指明。例如:允许来自10.10.10.20与127.0.0.1的链接。

$ echo subjectAltName = IP:10.10.10.20,IP:127.0.0.1 > extfile.cnf

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=your.host.com
Getting CA Private Key
Enter pass phrase for ca-key.pem:

为了key适合客户端的认证,创建一个扩展配置文件:

$ echo extendedKeyUsage = clientAuth > extfile.cnf

开始签名公钥:

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

当生产cert.pem与server-cert.pem之后,可以可以安全地删除这两个证书签名请求文件(CSR):

$ rm -v client.csr server.csr

默认情况下umask为022,密钥在当前账号与当前组中为可读写。为保护证书,防止意外发生,去掉写的权限。将文件改为只读:

$ chmod -v 0400 ca-key.pem key.pem server-key.pem

现在使得Docker daemon只接受来自提供了CA可信的证书的客户端发出的链接:

$ dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem \
  -H=0.0.0.0:2376

ubuntu14.04 下可以配置

$ sudo vi /etc/default/docker
DOCKER_OPTS="-D --tls=true --tlscert=/var/docker/server.pem --tlskey=/var/docker/serverkey.pem -H tcp://192.168.59.3:2376"

centos7.x下可以配置

$ sudo mkdir /etc/systemd/system/docker.service.d
$ sudo vi /etc/systemd/system/docker.service.d/docker.conf
[Service]
ExecStart=
ExecStart=/usr/bin/dockerd -D --tls=true --tlscert=/var/docker/server.pem --tlskey=/var/docker/serverkey.pem -H tcp://192.168.59.3:2376
$ sudo systemctl daemon-reload
$ sudo systemctl restart docker

为了可以链接到Docker并认证证书。需要提供客户端证书与可信的CA:

注意: 使用Docker daemon所在主机的DNS名字替换所有以下例子中的$HOST

$ docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem \
  -H=$HOST:2376 version

注意: Docker使用TLS运行在TCP2376端口上。

警告: 如上面的例子所示,当使用证书认证时,你不需要使用sudo或者docker用户组来运行docker客户端了。意思就是说任何一个持有证书的人都能访问docker deamon,就像root用户访问。保护好这些证书,就如root密码一样。
设置默认加密

如果想docker客户端的链接默认就加密了,可以将这些文件移到当前home目录下的.docker目录里面。或者设置DOCKER_HOST与DOCKER_TLS_VERIFY环境变量(来替换在每次访问中传递-H=tcp://$HOST:2376与–tlsverify)。

$ mkdir -pv ~/.docker
$ cp -v {ca,cert,key}.pem ~/.docker
$ export DOCKER_HOST=tcp://$HOST:2376 DOCKER_TLS_VERIFY=1

Docker后续访问的为默认加密了的

$ docker ps

其他模式

如果不想配置这两步认证方式,还可以通过混合使用flag运行Docker在其他模式下面

Daemon 模式

tlsverify, tlscacert, tlscert, tlskey集: 客户端认证
tls, tlscert, tlskey: 不认证客户端
客户端模式

tls: 基于CA池公钥私钥的服务端认证
tlsverify, tlscacert: 给定CA的服务端认证
tls, tlscert, tlskey: 基于给定的CA使用客户端证书认证,不进行服务端认证
tlsverify, tlscacert, tlscert, tlskey:基于CA的客户端与服务端证书认证。
客户端需要发送客户端证书,只需要将密钥放置~/.docker/{ca,cert,key}.pem即可。或者,如果证书放置在别的位置,只需要通过环境变量DOCKER_CERT_PATH指定具体的路径即可。

$ export DOCKER_CERT_PATH=~/.docker/zone1/
$ docker --tlsverify ps

使用curl链接docker的加密端口
使用curl测试API请求,需要用到如下三个额外的命令行标签:

$ curl https://$HOST:2376/images/json \
  --cert ~/.docker/cert.pem \
  --key ~/.docker/key.pem \
  --cacert ~/.docker/ca.pem
wenwenxiong
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker 开启SSL证书加密远程链接
ptxrq的博客
08-01 712
Docker 开启SSL证书加密远程链接
运行docker需要的权限分析
01-09
运行docker需要root权限。 解决非root用户没有权限运行docker命令的问题,方法如下: 方法1: 使用sudo获取管理员权限,运行docker命令,这个方法在通过脚本执行docker命令的时候会有很多局限性 方法2: docker守护...
Docker部署nginx并启用https加密连接
qq_64612585的博客
05-03 1250
在当今互联网时代,安全性成为越来越重要的议题。随着网络攻击日益猖獗,保护数据和通信的安全性变得至关重要。在这种背景下,对于在 Docker运行 Nginx 是否需要使用 HTTPS 这一问题,我们需要考虑到网络安全的重要性以及 HTTPS 协议所提供的加密和认证功能。接下来,让我们深入探讨为什么在 Docker运行 Nginx 时使用 HTTPS 是至关重要的。
一看就会的Nginx学习教程(千万别告诉其他人)
2401_85113160的博客
06-04 642
动静分离,在我们的软件开发中,有些请求是需要后台处理的,有些请求是不需要经过后台处理的(如:css、html、jpg、js等等文件),这些不需要经过后台处理的文件称为静态文件。扩展策略,就天马行空,只有你想不到的没有他做不到的。nginx的配置文件是conf目录下的nginx.conf,默认配置的nginx监听的端口为80,如果80端口被占用可以修改为未被占用的端口即可。公司项目刚刚上线的时候,并发量小,用户使用的少,所以在低并发的情况下,一个jar包启动应用就够了,然后内部tomcat返回内容给用户。
使用HTTPS访问Docker私有镜像仓库Harbor的配置方法
watermelonbig的专栏
09-12 3852
由于Harbor未附带任何证书,因此默认情况下使用HTTP来提供注册表请求。 但是,强烈建议为任何生产环境启用安全性。 Harbor有一个Nginx实例作为所有服务的反向代理,所以可以使用prepare脚本配置Nginx以启用https。 考虑到Docker服务访问Registry已经是默认使用https方式,我们并不希望因为使用Harbor作为镜像仓库,而去修改docker的启动参数。 ...
【云原生】docker容器实现https访问
liu_xueyin的博客
01-31 1867
【代码】【云原生】docker容器实现https访问。
通过docker创建Nginx容器并运行Vue项目(可用https进行访问)
VandyCarl的博客
05-27 1519
解决通过docker实现Nginx运行vue项目,并且可以通过Https进行访问
Docker 安全 Docker HTTPS请求过程与配置
低温热源的博客
07-27 1903
尽量别做的事 尽量不用 --privileged 运行容器(授权容器root用户拥有宿主机的root权限) 尽量不用 --network host 运行容器(使用 host 网络模式共享宿主机的网络命名空间) 尽量不在容器中运行 ssh 服务 尽量要做的事 尽量使用最小化的镜像 尽量以单一进程运行容器 尽量使用最新版本的应用做镜像主进程 尽量使用最新版本的docker尽量下载使用官方的镜像或自己构建镜像从私有仓库下载镜像 HTTPS请求访问过程 如何获取 ssl 证书?openssl 创建证书
docker容器运行后退出(怎么才能一直运行)
09-30
这表明容器没有按预期的方式持续运行。 **原因分析** Docker容器的设计原则是,当容器内的主进程结束时,整个容器也会随之退出。因此,如果容器内运行的命令是会立即完成的,比如不带挂起选项的`top`或`tail`命令,...
生产环境中安全运行Docker容器
09-30
本文是一篇译文,给大家详细介绍如何在生产环境中安全运行Docker容器,有需要的小伙伴可以参考下
docker运行项目的方法
09-29
在本篇文章里小编给大家分享的是关于docker运行项目的方法和实例,需要的朋友们学习参考下。
ansible方式离线安装docker
最新发布
06-12
Docker 是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中。这个容器可以在任何支持Docker的机器上运行,确保了应用在不同环境中的一致性。以下是Docker的一些关键特点...
Docker 服务器配置证书后,客户端连接
ms
12-05 257
Docker 服务器配置证书后,客户端连接
docker-client的HTTPS 使用证书登陆(openssl tls) 请求的具体实现
爱机械的假程序猿的博客
07-12 2921
第一步:设置静态IP和DNS (后面生成证书时需要用到)设置IP和DNS主要在下面的配置文件中修改:# vi /etc/sysconfig/network-scripts/ifcfg-* 具体的配置文件需要到network-scripts目录下看,通常是以ifcfg-开头的,比如ifcfg-eth0,我的是ifcfg-ens33,另一个ifcfg-lo就是LOOPBACK网络咯。# vi /etc...
docker容器中安装openssl
EnjoyToShare | 资源分享平台
01-17 9501
1.(可忽略,根据需要)执行更新操作 root@a97f033b8cc0:~# apt-get update 2.查看原有系统是否已安装Openssl root@a97f033b8cc0:~# openssl version -a 3.执行下载openssl操作 root@a97f033b8cc0:~# apt-get install openssl 4.查看Openssl安...
Docker Registry Server 搭建,配置免费HTTPS证书,及拥有权限认证、TLS 的私有仓库
weixin_34075268的博客
01-05 490
上一篇文章搭建了一个具有基础功能的私有仓库,这次来搭建一个拥有权限认证、TLS 的私有仓库。 环境准备 系统:Ubuntu 17.04 x64 IP:198.13.48.154 域名:hub.ymq.io,此域名需要dns 解析到198.13.48.154 作为私有仓库地址 本文出现的所有:hub.ymq.io 域名。使用时候请替换成自己的域名 Docker 环境 在部署私有仓库之前,需要在主...
docker openssl
毛竹的专栏
08-31 1717
首先,在Docker守护程序的主机上,生成CA私钥和公钥: $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ...........................................................................
docker部署https
热门推荐
python_web全栈
04-02 1万+
1 生成挂载的目录 生成配置文件挂载的目录 生成证书挂载的目录 mkdir /opt/docker/nginx/conf.d -p mkdir /opt/docker/nginx/cert -p 2 上传证书到cert目录 2.1 获取证书(阿里云) 进入阿里云控制台 点击SSL证书安装 点击左侧菜单栏,SSL 点击免费证书申请(个人版有20个免费) 申请之后,点击创建, 然后再次申请 根据提示填写,域名最好填写,你买的一级域名 下载nginx版本的证书 解压上传到,先前创建好的
wsl 运行docker
01-15
在WSL中运行Docker有两种方式,下面分别介绍这两种方式方式一:使用WSL 2和Docker Desktop 1. 确保你的Windows版本是Windows 10版本2004或更高,并且已启用WSL 2。 2. 安装Docker Desktop for Windows。可以从...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值