Docker-TLS 加密通讯

企业开发 2020-04-29 04:08:50 阅读次数: 0

Docker-TLS 加密通讯

一、TLS加密通信

在公司的docker业务中,一般为了防止链路劫持、会话劫持等问题导致docker通信时被中间人***,C/S两端应该通过加密方式通讯。

如果公司使用的是自己的镜像源,可以跳过此步;否则,至少需要验证:baseimage的md5 等特征值,确认一致后再基于 baseimage 进一步构建。
一般情况下,要确保只从受信任的库中获取镜像,并且不建议使用--insecure-registy=[] 参数,推荐使用harbor私有仓库。

二、搭建部署

2.1、搭建环境

两台虚拟机都安装了 docker-ce。

server服务端-----192.168.66.138

client客户端 -----192.168.66.129

2.2、server端部署

【1】更改主机名和hosts文件
hostnamectl set-hostname master
su

vim /etc/hosts
127.0.0.1 master

ping master  // 可以解析

Docker-TLS 加密通讯

Docker-TLS 加密通讯

【2】创建tls
mkdir /root/tls
cd /root/tls/

【3】创建ca密码----ca-key.pem  // -aes256指密钥长度
openssl genrsa -aes256 -out ca-key.pem 4096  // 输入123123

Docker-TLS 加密通讯

【4】创建ca证书----ca.pem  // -sha256 指哈希算法
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem  // 输入123123

Docker-TLS 加密通讯

【5】创建服务器私钥----server-key.pem
openssl genrsa -out server-key.pem 4096

【6】创建私钥签名----server.csr
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr 

【7】使用ca证书与私钥签名,创建server-cert.pem,生成ca.srl
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

Docker-TLS 加密通讯

【8】生成客户端密钥----key.pem
openssl genrsa -out key.pem 4096

【9】生成客户端签名----client.csr
openssl req -subj "/CN=client" -new -key key.pem -out client.csr    

【10】创建配置文件----extfile.cnf
echo extendedKeyUsage=clientAuth > extfile.cnf

【11】创建签名证书----cert.pem,需要(签名客户端,ca证书,ca密钥)
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

Docker-TLS 加密通讯

【12】删除多余文件
rm -rf ca.srl client.csr extflie.cnf server.csr

Docker-TLS 加密通讯

【13】配置docker文件,并且重启服务
vim /usr/lib/systemd/system/docker.service
// 14行先注销,在添加
#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/tls/ca.pem --tlscert=/root/tls/server-cert.pem --tlskey=/root/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

systemctl daemon-reload
systemctl restart docker

Docker-TLS 加密通讯

//查看端口是否开启
netstat -anpt | grep dockerd

Docker-TLS 加密通讯

【14】将(ca.pem)ca证书、(cert.pem)签名证书、(key.pem)客户端密钥复制到client客户端的/etc/docker目录下,使client客户端可以通过证书来访问
scp ca.pem [email protected]:/etc/docker/
scp cert.pem [email protected]:/etc/docker/
scp key.pem [email protected]:/etc/docker/

Docker-TLS 加密通讯

2.3client部署基本环境,且验证TLS

【1】更改主机名和hosts文件
hostnamectl set-hostname client 
su
vi /etc/hosts  //末尾添加
192.168.66.138 master

Docker-TLS 加密通讯

【2】查看server端的docker版本
//需要进入/etc/docker这个目录才可以执行下列命令
cd /etc/docker/       
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

Docker-TLS 加密通讯

猜你喜欢

转载自blog.51cto.com/14557584/2491356
今日推荐
富文本编辑器 Quill 2.0 重磅发布,特性、可靠性与开发者体验大幅提升
“开源信徒”周鸿祎开源360智脑大模型
周排行
Ubuntu 14.04 下Fuel6.0安装部署
香港一小巴侧翻致1死16伤 警方:未见机件故障
pikachu--XSS盲打
阅读 深入理解JVM虚拟机笔记一
java.sql.SQLException: ORA-00932: 数据类型不一致: 应为 -, 但却获得 CLOB
oracle delete all object under an user
[LeetCode]20 Valid Parentheses 有效的括号
树形DP求树的直径 【模板】
Context propagation over HTTP in Go
【PAT】(B)1053 住房空置率 (20)*
每日归档
更多
2024-04-18(0)
2024-04-17(5)
2024-04-16(70)
2024-04-15(42)
2024-04-14(0)
2024-04-13(119)
2024-04-12(38)
2024-04-11(14)
2024-04-10(68)
2024-04-09(5)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022