Docker-TLS 加密通訊

原創 wx5d8a05337d6b9 2020-04-29 12:50

Docker-TLS 加密通訊

一、TLS加密通信

在公司的docker業務中,一般爲了防止鏈路劫持、會話劫持等問題導致docker通信時被中間人***,C/S兩端應該通過加密方式通訊。

如果公司使用的是自己的鏡像源,可以跳過此步;否則,至少需要驗證:baseimage的md5 等特徵值,確認一致後再基於 baseimage 進一步構建。
一般情況下,要確保只從受信任的庫中獲取鏡像,並且不建議使用--insecure-registy=[] 參數,推薦使用harbor私有倉庫。

二、搭建部署

2.1、搭建環境

兩臺虛擬機都安裝了 docker-ce。

server服務端-----192.168.66.138

client客戶端 -----192.168.66.129

2.2、server端部署

【1】更改主機名和hosts文件
hostnamectl set-hostname master
su

vim /etc/hosts
127.0.0.1 master

ping master  // 可以解析

Docker-TLS 加密通訊

Docker-TLS 加密通訊

【2】創建tls
mkdir /root/tls
cd /root/tls/

【3】創建ca密碼----ca-key.pem  // -aes256指密鑰長度
openssl genrsa -aes256 -out ca-key.pem 4096  // 輸入123123

Docker-TLS 加密通訊

【4】創建ca證書----ca.pem  // -sha256 指哈希算法
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem  // 輸入123123

Docker-TLS 加密通訊

【5】創建服務器私鑰----server-key.pem
openssl genrsa -out server-key.pem 4096

【6】創建私鑰簽名----server.csr
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr 

【7】使用ca證書與私鑰簽名,創建server-cert.pem,生成ca.srl
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

Docker-TLS 加密通訊

【8】生成客戶端密鑰----key.pem
openssl genrsa -out key.pem 4096

【9】生成客戶端簽名----client.csr
openssl req -subj "/CN=client" -new -key key.pem -out client.csr    

【10】創建配置文件----extfile.cnf
echo extendedKeyUsage=clientAuth > extfile.cnf

【11】創建簽名證書----cert.pem,需要(簽名客戶端,ca證書,ca密鑰)
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

Docker-TLS 加密通訊

【12】刪除多餘文件
rm -rf ca.srl client.csr extflie.cnf server.csr

Docker-TLS 加密通訊

【13】配置docker文件,並且重啓服務
vim /usr/lib/systemd/system/docker.service
// 14行先註銷,在添加
#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/tls/ca.pem --tlscert=/root/tls/server-cert.pem --tlskey=/root/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

systemctl daemon-reload
systemctl restart docker

Docker-TLS 加密通訊

//查看端口是否開啓
netstat -anpt | grep dockerd

Docker-TLS 加密通訊

【14】將(ca.pem)ca證書、(cert.pem)簽名證書、(key.pem)客戶端密鑰複製到client客戶端的/etc/docker目錄下,使client客戶端可以通過證書來訪問
scp ca.pem [email protected]:/etc/docker/
scp cert.pem [email protected]:/etc/docker/
scp key.pem [email protected]:/etc/docker/

Docker-TLS 加密通訊

2.3client部署基本環境,且驗證TLS

【1】更改主機名和hosts文件
hostnamectl set-hostname client 
su
vi /etc/hosts  //末尾添加
192.168.66.138 master

Docker-TLS 加密通訊

【2】查看server端的docker版本
//需要進入/etc/docker這個目錄纔可以執行下列命令
cd /etc/docker/       
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

Docker-TLS 加密通訊

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

docker 給現有鏡像瘦身

在 Dockerfile 中, 每一條指令都會創建一個鏡像層,繼而會增加整體鏡像的大小。而commit也是層的增加。 這其實也很好理解,例如git,你對某個文件增加了一行,又刪除了一這一行,雖然最新版文件看起來沒有了,但其實歷史還

凌云靖宇 2020-07-08 10:26:19

Docker目錄結構

Docker默認的文件目錄位於Linux server的/var/lib/docker 下面。目錄結構如下: /var/lib/docker/ ├── containers ├── image │ └── overlay2 │

波波仔86 2020-07-08 09:58:10

使用Docker安裝Kong - 玩轉Kong網關

一.安裝docker 如果有較舊的 Docker 版本稱爲 docker 或 docker-engine 。如果已安裝這些程序,請卸載它們以及相關的依賴項。 $ sudo yum remove docker \            

幽默龙 2020-07-08 12:31:23

CentOS7環境下配置Docker

** CentOS7環境下配置Docker ** 文章目錄CentOS7環境下配置Docker一、安裝Docker1、查看CentOS版本及內核版本2、安裝準備3、刪除舊版本的Docker4、安裝 Docker Engine-Co

chung961977305 2020-07-08 12:18:04

基於中標麒麟高級服務器操作系統7.4的docker入門教程1一——docker基本概念以及歷史

目錄 一、Docker產生背景以及歷史 二、Docker基本概念 三、Docker的應用場景   一、Docker產生背景以及歷史 衆所周知,Linux在早已存在LXC(Linux Container)的概念。LXC即系統默認利用na

skymfc 2020-07-08 11:40:41

docker 啓動kafka宿主機無法訪問

先看我啓動命令: docker run -e TZ="Asia/Shanghai" --privileged -itd -h single.com -p 127.0.0.1:9092:9092 -p 127.0.0.1:2181:218

moliyiran 2020-07-08 11:15:53

製作docker pt-online-schema-change修改表結構工具鏡像

  修改線上的表容易導致線網數據出現問題嚴重導致數據庫崩掉(尤其是主從同步的時候),所以一般不建議直接修改線網的表 一般情況建表的時候最好預留保留字段和json的擴展字段,保留字段用於需要經常排序或者查詢的,json擴展字段用於簡單的擴展

alexander137 2020-07-08 11:10:54

GitBlit安裝與使用

      Java 庫用來管理、查看和處理 Git 的資料庫工具,相當於 Git 的 Java 管理工具。通俗點來說就是一個相當於 SVN 的工具,用於多個人共同開發同一個項目,共用資源的目的。 1 軟件安裝 搭建環境:windows

要学就学最难的 2020-07-08 10:59:37

【docker問題】Client.Timeout exceeded while awaiting header

在進行docker pull 拉取鏡像時,出現過下面的錯誤: net/http: request canceled while waiting for connection (Client.Timeout exceeded while a

pf1234321 2020-07-08 10:41:37

#Redis#Mac中docker安裝Redis步驟記錄

一、前提條件 mac已經安裝docker 二、安裝步驟如下: 1、拉取鏡像命令: docker pull redis sing default tag: latest latest: Pulling from library/redis

码农丁丁 2020-07-08 10:28:41

k8s(二)

佔位

6moji6 2020-07-08 10:26:30

Docker部署java項目

1、拉取鏡像docker pull java (附docker常用命令: 查看鏡像列表:docker images 查看運行中的容器: docker ps 查看所有容器: docker ps -a 停止容器:docker stop cid

yea大叶 2020-07-08 10:23:22

Docker存儲方式總結

docker四種存儲方式 docker四種方式:默認、volumes數據卷、bind mounts掛載、tmpfs mount(僅在linux環境中提供),其中volumes、bind mounts兩種實現持久化容器數據; 默認:數據保存

波波仔86 2020-07-08 09:58:11

Docker從入門到掉坑(四) 國內搭建k8s避坑指南

在之前的幾篇文章中,主要還是講解了關於簡單的docker容器該如何進行管理和操作,在接下來的這篇文章開始,我們將開始進入對於k8s模塊的學習 在進行對k8s的學習之前,我們首先來進行幾個知識點的回顧: 什麼是容器? 通俗易懂地來講

Danny_idea 2020-07-08 09:57:37

Docker從入門到掉坑(一):Docker從入門到掉坑

Docker 介紹 簡單的對docker進行介紹,可以把它理解爲一個應用程序執行的容器。但是docker本身和虛擬機還是有較爲明顯的出入的。我大致歸納了一下,可以總結爲以下幾點: docker自身也有着很多的優點,關於它的優點,

Danny_idea 2020-07-08 09:57:36