Docker-TLS 加密通訊
一、TLS加密通信
在公司的docker業務中,一般爲了防止鏈路劫持、會話劫持等問題導致docker通信時被中間人***,C/S兩端應該通過加密方式通訊。
如果公司使用的是自己的鏡像源,可以跳過此步;否則,至少需要驗證:baseimage的md5 等特徵值,確認一致後再基於 baseimage 進一步構建。
一般情況下,要確保只從受信任的庫中獲取鏡像,並且不建議使用--insecure-registy=[] 參數,推薦使用harbor私有倉庫。
二、搭建部署
2.1、搭建環境
兩臺虛擬機都安裝了 docker-ce。
server服務端-----192.168.66.138
client客戶端 -----192.168.66.129
2.2、server端部署
【1】更改主機名和hosts文件
hostnamectl set-hostname master
su
vim /etc/hosts
127.0.0.1 master
ping master // 可以解析
【2】創建tls
mkdir /root/tls
cd /root/tls/
【3】創建ca密碼----ca-key.pem // -aes256指密鑰長度
openssl genrsa -aes256 -out ca-key.pem 4096 // 輸入123123
【4】創建ca證書----ca.pem // -sha256 指哈希算法
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem // 輸入123123
【5】創建服務器私鑰----server-key.pem
openssl genrsa -out server-key.pem 4096
【6】創建私鑰簽名----server.csr
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
【7】使用ca證書與私鑰簽名,創建server-cert.pem,生成ca.srl
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
【8】生成客戶端密鑰----key.pem
openssl genrsa -out key.pem 4096
【9】生成客戶端簽名----client.csr
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
【10】創建配置文件----extfile.cnf
echo extendedKeyUsage=clientAuth > extfile.cnf
【11】創建簽名證書----cert.pem,需要(簽名客戶端,ca證書,ca密鑰)
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
【12】刪除多餘文件
rm -rf ca.srl client.csr extflie.cnf server.csr
【13】配置docker文件,並且重啓服務
vim /usr/lib/systemd/system/docker.service
// 14行先註銷,在添加
#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/tls/ca.pem --tlscert=/root/tls/server-cert.pem --tlskey=/root/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
systemctl daemon-reload
systemctl restart docker
//查看端口是否開啓
netstat -anpt | grep dockerd
【14】將(ca.pem)ca證書、(cert.pem)簽名證書、(key.pem)客戶端密鑰複製到client客戶端的/etc/docker目錄下,使client客戶端可以通過證書來訪問
scp ca.pem [email protected]:/etc/docker/
scp cert.pem [email protected]:/etc/docker/
scp key.pem [email protected]:/etc/docker/
2.3client部署基本環境,且驗證TLS
【1】更改主機名和hosts文件
hostnamectl set-hostname client
su
vi /etc/hosts //末尾添加
192.168.66.138 master
【2】查看server端的docker版本
//需要進入/etc/docker這個目錄纔可以執行下列命令
cd /etc/docker/
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version