今天也来点Docker，Docker-TLS加密通讯

2023-05-16

这里写目录标题

一、TLS加密通讯的概述
二、TLS加密通讯的部署
- 2.1、搭建环境
- 2.2 部署过程
- 2.3 验证加密通讯

一、TLS加密通讯的概述

用TLS加密通讯原因：
为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击，c/s 两端应该通过加密方式通讯。
对称密钥，例如DES、3DES、AES，长度不同，长度越长安全越高，解密速度越慢。
非对称密钥，分为公钥和私钥，例如RSA 公钥：所有人可知（锁），私钥（钥匙）个人身份信息，不可抵赖。
封装在证书中：个人信息，密钥，有效期

二、TLS加密通讯的部署

2.1、搭建环境

节点	地址	安装软件
master	20.0.0.50	docker-ce
Client	20.0.0.60	docker-ce

2.2 部署过程

Server

[root@cgroup ~]# hostnamectl set-hostname master
[root@cgroup ~]# bash
[root@master ~]#systemctl stop firewalld
[root@master ~]# setenforce 0

[root@master ~]# mkdir /tls
[root@master ~]# cd /tls

[root@master tls]# vim /etc/hosts
127.0.0.1   master

#创建ca密钥，输入密码123123
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
......................................................................................................................................++
.........................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

#创建ca证书，输入密码123123
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:

#创建服务器私钥
[root@master tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.........................................++
......................................++
e is 65537 (0x10001)

#签名私钥
[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

#使用ca证书与私钥证书签名，输入密码123123
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:

#生成客户端密钥
[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
........................................................................................................................................................................................................++
..++
e is 65537 (0x10001)

#签名客户端
[root@master tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr

#创建配置文件
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf

#签名证书，输入密码123123
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

#删除多余文件
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr

#查看生成文件
[root@master tls]# ls
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem

配置docker
vim /lib/systemd/system/docker.service
重启进程
systemctl daemon-reload
重启docker服务
systemctl restart docker
将 /tls/ca.pem /tls/cert.pem /tls/key.pem 三个文件复制到另一台主机

[root@master tls]# scp ca.pem root@20.0.0.60:/etc/docker/
The authenticity of host '20.0.0.60 (20.0.0.60)' can't be established.
ECDSA key fingerprint is SHA256:N36uwPtXA/RHGdEsLwiaV6x0pMPitNj+MSO3APPZtC4.
ECDSA key fingerprint is MD5:14:cf:b4:13:36:a1:ea:c6:dc:01:f5:83:65:ca:b0:39.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '20.0.0.60' (ECDSA) to the list of known hosts.
root@20.0.0.60's password: 
ca.pem                                                                100% 1765     2.6MB/s   00:00    
[root@master tls]# scp cert.pem root@20.0.0.60:/etc/docker/
root@20.0.0.60's password: 
cert.pem                                                              100% 1696     1.3MB/s   00:00    
[root@master tls]# scp key.pem root@20.0.0.60:/etc/docker/
root@20.0.0.60's password: 
key.pem                                                               100% 3247     1.3MB/s   00:00

2.3 验证加密通讯

Server上验证

[root@master tls]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
 Go version:        go1.13.15
 Git commit:        4484c46d9d
 Built:             Wed Sep 16 17:03:45 2020
 OS/Arch:           linux/amd64
 Experimental:      false

Server: Docker Engine - Community
 Engine:
  Version:          19.03.13
  API version:      1.40 (minimum version 1.12)
  Go version:       go1.13.15
  Git commit:       4484c46d9d
  Built:            Wed Sep 16 17:02:21 2020
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.3.7
  GitCommit:        8fba4e9a7d01810a393d5d25a3621dc101981175
 runc:
  Version:          1.0.0-rc10
  GitCommit:        dc9208a3303feef5b3839f4323d9beb36df0a9dd
 docker-init:
  Version:          0.18.0
  GitCommit:        fec3683

Client上验证

[root@client ~]# vim /etc/hosts
20.0.0.50 master

[root@client ~]# cd /etc/docker/
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
 Go version:        go1.13.15
 Git commit:        4484c46d9d
 Built:             Wed Sep 16 17:03:45 2020
 OS/Arch:           linux/amd64
 Experimental:      false

Server: Docker Engine - Community
 Engine:
  Version:          19.03.13
  API version:      1.40 (minimum version 1.12)
  Go version:       go1.13.15
  Git commit:       4484c46d9d
  Built:            Wed Sep 16 17:02:21 2020
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.3.7
  GitCommit:        8fba4e9a7d01810a393d5d25a3621dc101981175
 runc:
  Version:          1.0.0-rc10
  GitCommit:        dc9208a3303feef5b3839f4323d9beb36df0a9dd
 docker-init:
  Version:          0.18.0
  GitCommit:        fec3683

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

今天也来点Docker，Docker-TLS加密通讯的相关文章

3.2.1 通过扫描装配你的Bean

对于扫描装配而言使用的注解是 64 Component和 64 ComponentScan 64 Component是标明哪个类被扫描进入IoC容器 xff0c 而 64 ComponentScan则是标明采用何种策略去扫描装配Bean 修
3.5 使用属性文件

可以采用默认为我们配置的application properties xff0c 也可以使用自定义的配置文件引入属性文件依赖 span class token tag span class token tag span class tok
3.6 条件装配Bean

Bean初始化前 xff0c 对某些属性进行校验 xff0c 满足校验才去装配数据源为了处理这样的场景 xff0c 需要用到 64 Conditional注解 xff0c 同时需要配合另外一个接口Condition xff08 org s
3.7 Bean的作用域

isSingleton方法如果返回true xff0c 则Bean在IoC容器中以单例存在 xff0c 这也是Spring IoC容器的默认值 xff1b 如果isPrototype方法返回true xff0c 则当我们每次获取Bean的时
3.8 使用@Profile

在企业开发的过程中 xff0c 项目往往要面临开发环境测试环境准生产环境和生产环境的切换 xff0c 每一套的上下文是不一样的 xff0c 它们有各自的数据库资源 Profile机制 xff1a 实现各个环境之间的切换假设存在dev
3.9 引入XML配置Bean

注解 64 ImportResource xff1a 可以引入对应的XML文件 xff0c 用以加载Bean 有时候有些框架 xff08 如Dubbo xff0c Cat xff09 是基于Spring的XML方式进行开发的 xff0c 这
第2章概述

示例代码 xff1a span class token doctype span class token punctuation lt span span class token doctype tag DOCTYPE span span
【无标题】

简单接口HelloService span class token keyword public span span class token keyword interface span span class token class nam
穷举法解华为bl锁

穷举法解华为bl锁 python3代码测试截图灵感来自于 xff1a https blog csdn net qq 40169767 article details 90481748 但是我不懂shell脚本 xff0c 那个脚本又运行不
4.1.2 ProxyBean的实现

代理 xff0c 可控制或增加对目标对象的访问 ProxyBean代码 xff1a span class token keyword package span span class token namespace com span clas
IDEA中打开.properties文件乱码

问题 xff1a IDEA中打开 properties文件乱码解决方法 xff1a 一代开settings设置二搜索File Encodings 三在Properties Files中选择编码格式为UTF 8 xff0c 注意一定
怎么避免下载流氓软件，误下载后怎么处理

经历复盘 xff1a 2022 1 20时 xff0c 为了下载SPSS时不小心下载了流氓软件回过头来复盘一下 xff0c 一个是因为当时不小心点击了电信高速下载 xff0c 下载了一个P2P软件点击安装的时候就感觉不太对劲 xff0c
eclipse查看不了源码怎么办

问题使用eclipse的过程中 xff0c 发现ctrl 43 鼠标左键查看不了源码解决方案可以在弹出的提示框中添加源码的压缩包 xff0c 压缩包在你安装的jdk的根目录下 xff0c 如我的是C Application java
关于if循环语句的四种写法

if语句在java中起到判断语句的作用写法有四种 xff0c 如下 xff1a if if else if else if if else if else 例如 xff1a 一 xff1a if语句第一种写法 if 好处 xff1a 简单便
ROS学习——2编写简单的发布者和订阅者

ros官网教程 xff1a 编写简单的发布者和订阅者目录 c 43 43 版python版注意 c 43 43 版在新建好的catkin ws工作空间下建立 cd catkin ws src 在该目录下创建自己的功能包 xff1a ca
ubuntu文件系统结构与磁盘管理

一根目录 xff1a Linux下就是根目录所有的目录都是由根目录衍生出来的二 ubuntu 文件系统结构 xff1a 三绝对路径和相对路径 xff1a 绝对路径 xff1a 从根目录算起的路径相对路径 xff1a 相对于目前
Framebuffer应用编程

一 Framebuffer介绍在Linux系统中通过Framebuffer xff08 帧缓冲 xff09 驱动程序来控制LCD Framebuffer就是一块内存 xff0c 里面保存着一帧图像 Framebuffer中保存着一帧图像的
Java编辑提示错误：编码 GBK 的不可映射字符 (0x80)

在DOS界面运行编译Java文件时提示错误 xff1a 编码 GBK 的不可映射字符 0x80 理解 xff1a java程序在编译的时候 xff0c 需要使用JDK开发工具包中的JAVAC EXE命令 xff0c 而JDK开发工具包是国际
makefile教程

Makefile是一种用于构建软件项目的自动化工具 xff0c 通过定义一系列规则和依赖关系 xff0c 可以自动化构建编译测试和安装软件项目在本篇教程中 xff0c 我将介绍如何编写一个简单的Makefile xff0c 并解释Ma
原来制作数据可视化大屏这么简单，这三步就能完成

不知道大家在对数据进行可视化处理的时候 xff0c 有没有碰到过以上问题 xff1f 身为一位经常需要整理数据可视化处理的数据人 xff0c 我真的心有体会随着越来越多的头部企业启动数据大屏展示公司的年度战绩 xff0c 以数据大屏为

随机推荐

VirtualBox主机ping不通虚拟机

问题 xff1a 虚拟机可以ping通主机 xff0c 主机无法ping通虚拟机 1 检查虚拟机是否配置好NAT网络连接 xff0c 从而能够ping通外网 2 配置主机ping虚拟机 xff0c 创建桥接网卡 3 检查虚拟机是否出现新建桥
MATLAB“在当前文件夹或MATLAB路径中未找到文件“的小“坑”

更新 xff1a 似乎找到了官方依据另外 xff0c 这个问题在MATLAB2020中似乎已经得到了修复 MATLAB文件夹的相关问题新手使用matlab会遇到文件夹的问题 xff1a 第一 xff0c 新建一个脚本 xff0c Ctr
Ubuntu18.04下PX4+gazebo+QGC实现无人机在仿真环境下的房屋巡视

前言 xff1a 老师给我布置了在仿真环境下模拟带摄像头的无人机在仿真环境下的巡视任务 xff0c 在完成任务的过程中 xff0c 遇到了很多问题 xff0c 查阅了许多博主的资料 xff0c 有些关键环节只是被一带而过 xff0c 导致安
双系统下ubuntu18.04装拓展显示屏血泪史

1 背景 xff1a 买了块新显示器 xff0c 想在ubuntu18 04下使用 xff0c 得装驱动 xff0c 刚开始按网上的一个教程 xff0c 直接把内核装坏了 xff0c 后来重装过系统才最终完成拓展屏的功能实现 xff0c 特
ROS工作空间、功能包创建,编译相关的C++/python程序详解

有关工作空间的结构 xff1a WorkSpace 自定义的工作空间 build xff1a 编译空间 xff0c 用于存放CMake和catkin的缓存信息配置信息和其他中间文件 devel xff1a 开发空间 xff0c 用于存放编
VScode配置ROS环境下Debug调试

参考 xff1a VScode debug ROS cpp程序设置断点调试 ABC Orange的博客 CSDN博客 poll failed with error interrupted system call Get Started w
C++速成（封装、继承和多态）

前前言 xff1a 如果有时间 xff0c 搜一个完整的教程看 xff0c 用到啥学啥 xff0c 这样可能可以省更多的时间 61 61 前言 xff1a C 43 43 的命名规范 C 43 43 命名规范 ajioy的博客 CSDN博客
神经网络与深度学习课程总结二

深度学习平台介绍 1 1PyTorch是一个Python的深度学习库它最初由Facebook人工智能研究小组开发 xff0c 而优步的Pyro软件则用于概率编程 1 1 1PyTorch基本使用基本概念张量 xff08 Tensor
神经网络与深度学习课程总结三

一数据集与评价指标算法评估 xff1a P R曲线 mAP计算二目标检测与YOLO 目标检测问题 xff1a 目标检测是在给定的图片中精确找到物体所在位置并标注出物体的类别物体的尺寸变化范围很大摆放物体的角度姿态不定而且可
神经网络与深度学习课程总结四

一数据处理基础 1 1特征编码 xff1a 第1列表示年龄 xff0c 是一个数值特征第2列表示性别 xff0c 是一个只有一位 xff08 0 xff0c 1 xff09 的特征 0 gt Male 1 gt Female 第3列表示
高大上的数据可视化图表，只需6步就能完成

一份高质量的数据可视化图表 xff0c 能够让你清晰全面地传达出数据信息 xff0c 成为你工作学习竞赛的助推器 xff01 因此 xff0c 一款功能强大的可视化软件显得尤为重要 xff01 最近博主在用的百度 Sugar BI x
从零开始的MySQL学习，完全备份、增量备份和备份恢复

文章目录一数据备份的重要性二数据库备份的分类从物理与逻辑的角度从数据库的备份策略角度三完全备份完全备份的优点完全备份的缺点四 mysqldump备份库备份单个库备份多个库备份所有库备份表五备份恢复source命令恢复mysq
【错误归纳】rsync远程同步：报错password file must not be other-accessible

实验场景 xff1a rsync远程同步故障现象 xff1a 做rsync远程同步时 xff0c 当时在发起端输入了以下命令调用了免密方式同步文件 rsync span class token operator span az span
Linux就该这么学，GlusterFS分布式原理和架构

文章目录一 GlusterFS概述GlusterFS的简介GlusterFS的特点GlusterFS的相关用语模块化堆栈式架构二 GlusterFS工作原理GlusterFS工作流程弹性hash算法三 GlusterFS的卷类型分布式
【错误归纳】创建GlusterFS卷：报错Mount failed. Please check the log file for more details

实验场景 xff1a 创建GlusterFS复制卷故障现象 xff1a 创建GlusterFS复制卷客户端挂载时出错 root 64 client mount glusterfs node1 rep vol hyc rep vol Mo
【归纳总结】MySQL5.6与5.7区别

文章目录一编译安装区别下载软件带boost的mysql源码安装不带boost的mysql源码安装二初识化时的区别三功能和特性的区别一编译安装区别 Mysql5 7版本更新后有很多变化 xff0c 比如json等 xff0c 连
今天也来点Docker，端口映射与容器互联

文章目录一端口映射1 1 概述1 2 随机端口1 3 映射指定端口二容器互联一端口映射 1 1 概述在启动容器的时候 xff0c 如果不指定对应的参数 xff0c 在容器外部是无法通过网络来访问容器内部的网络应用和服务的当容
今天也来点Docker，Consul服务（自动发现的Docker架构）

文章目录一 Consul 理论概述1 1 简介1 2 使用场景1 3 优势1 4 consul 端口二基于Docker的Consul服务搭建2 1 部署环境2 2 部署Consul服务2 3 容器服务自动加入nginx集群2 4 验证
【错误归纳】yum安装docker-ce报错

实验场景 xff1a yum安装docker ce 故障现象 xff1a root 64 docker2 yum repos d yum config manager add repo https mirrors aliyun com do
今天也来点Docker，Docker-TLS加密通讯

这里写目录标题一 TLS加密通讯的概述二 TLS加密通讯的部署2 1 搭建环境2 2 部署过程2 3 验证加密通讯一 TLS加密通讯的概述用TLS加密通讯原因 xff1a 为了防止链路劫持会话劫持等问题导致 Docker 通信时被中

今天也来点Docker，Docker-TLS加密通讯

这里写目录标题

一、TLS加密通讯的概述

二、TLS加密通讯的部署

2.1、搭建环境

2.2 部署过程

2.3 验证加密通讯

今天也来点Docker，Docker-TLS加密通讯 的相关文章

随机推荐

热门标签

今天也来点Docker，Docker-TLS加密通讯的相关文章