默认情况下,Docker 通过非联网 UNIX 套接字运行。它还可以使用 HTTP 套接字进行可选通信。
如果需要以安全的方式通过网络访问 Docker,可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。
在守护程序模式下,它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下,它仅连接到具有该 CA 签名的证书的服务器。
# 创建CA证书目录 [root@localhost ~]# mkdir tls [root@localhost ~]# cd tls/ # 创建CA密钥 [root@localhost tls]# openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ..............................................................................++ .....................................................................................................................................................................++ e is 65537 (0x10001) Enter pass phrase for ca-key.pem: Verifying - Enter pass phrase for ca-key.pem: # 创建CA证书 [root@localhost tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem Enter pass phrase for ca-key.pem: [root@localhost tls]# ll 总用量 8 -rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem -rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem # 创建服务器私钥 [root@localhost tls]# openssl genrsa -out server-key.pem 4096 Generating RSA private key, 4096 bit long modulus ................................................................++ ..................++ e is 65537 (0x10001) [root@localhost tls]# ll 总用量 12 -rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem -rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem -rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem # 对私钥进行签名 [root@localhost tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr [root@localhost tls]# ll 总用量 16 -rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem -rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem -rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr -rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem 使用CA证书与私钥签名,输入上面设置的密码 [root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem Signature ok subject=/CN=* Getting CA Private Key Enter pass phrase for ca-key.pem: #生成客户端密钥 [root@localhost tls]# openssl genrsa -out key.pem 4096 Generating RSA private key, 4096 bit long modulus ....................................................................................................................++ .................................++ e is 65537 (0x10001) #对客户端签名 [root@localhost tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr #创建配置文件 [root@localhost tls]# echo extendedKeyUsage=clientAuth > extfile.cnf #签名证书 [root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf Signature ok subject=/CN=client Getting CA Private Key Enter pass phrase for ca-key.pem: [root@localhost tls]# ll 总用量 40 -rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem -rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem -rw-r--r--. 1 root root 17 12月 3 19:35 ca.srl -rw-r--r--. 1 root root 1696 12月 3 19:35 cert.pem -rw-r--r--. 1 root root 1582 12月 3 19:29 client.csr -rw-r--r--. 1 root root 28 12月 3 19:32 extfile.cnf -rw-r--r--. 1 root root 3243 12月 3 19:08 key.pem -rw-r--r--. 1 root root 1647 12月 3 19:08 server-cert.pem -rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr -rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem # 删除多余文件 [root@localhost tls]#
在客户端测试
[root@client ~]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version Client: Docker Engine - Community Version: 19.03.13 API version: 1.40 Go version: go1.13.15 Git commit: 4484c46d9d Built: Wed Sep 16 17:03:45 2020 OS/Arch: linux/amd64 Experimental: false Server: Docker Engine - Community Engine: Version: 19.03.13 API version: 1.40 (minimum version 1.12) Go version: go1.13.15 Git commit: 4484c46d9d Built: Wed Sep 16 17:02:21 2020 OS/Arch: linux/amd64 Experimental: false containerd: Version: 1.3.9 GitCommit: ea765aba0d05254012b0b9e595e995c09186427f runc: Version: 1.0.0-rc10 GitCommit: dc9208a3303feef5b3839f4323d9beb36df0a9dd docker-init: Version: 0.18.0 GitCommit: fec3683
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件!
如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
岱庙资源网 Copyright www.zgmyg.com
暂无“使用TLS加密通讯远程连接Docker的示例详解”评论...
P70系列延期,华为新旗舰将在下月发布
3月20日消息,近期博主@数码闲聊站 透露,原定三月份发布的华为新旗舰P70系列延期发布,预计4月份上市。
而博主@定焦数码 爆料,华为的P70系列在定位上已经超过了Mate60,成为了重要的旗舰系列之一。它肩负着重返影像领域顶尖的使命。那么这次P70会带来哪些令人惊艳的创新呢?
根据目前爆料的消息来看,华为P70系列将推出三个版本,其中P70和P70 Pro采用了三角形的摄像头模组设计,而P70 Art则采用了与上一代P60 Art相似的不规则形状设计。这样的外观是否好看见仁见智,但辨识度绝对拉满。
更新日志
2024年06月27日
2024年06月27日
- 瑞鸣音乐《中国音乐地图之听见河南豫剧经典唱段》2020[WAV分轨]
- 【伊比萨沙发】VA-2024-IbizaSpring2024(LoungeCocktailsfromtheHeart)[FLAC]
- 群星《世界顶级汽车音响试音王》4K金碟16CD[WAV+CUE]
- 群星-音效环绕天碟《极致环绕人声天碟天品》7CD[WAV]
- 泰拉克SACD古典试音碟7SACD-ISO
- 群星《红歌宝典》20CD[WAV/分轨]
- 《101系列:好歌101首 细听年代精选》[WAV+CUE][3.6GB]
- 《101系列 6CD 国语经典101首歌曲 张学友 王菲代表作》[APE+CUE][2.8GB]
- 《101系列:国语经典101 VOL2 6CD 精选最经典101首》[WAV+CUE][2.3GB]
- 群星《十年网络红歌》15CD[WAV分轨]
- 宝丽金-环球10周年至50周年经典金曲15CD[低速原抓WAV+CUE]
- FIM唱片《十大男伶》[低速原抓WAV+CUE]
- 《101系列:情歌101 6CD》[WAV+CUE][3.1GB]
- 庄心妍《降调版合集》[320K/MP3][52.96MB]
- 庄心妍《降调版合集》[FLAC/分轨][118.78MB]