默認情況下,Docker 通過非聯網 UNIX 套接字運行。它還可以使用 HTTP 套接字進行可選通信。
如果需要以安全的方式通過網絡訪問 Docker,可以通過指定標志將 Docker 標志指向受信任的 CA 證書來啟用 TLS。
在守護程序模式下,它只允許來自由該 CA 簽名的證書驗證的客戶端的連接。在客戶端模式下,它僅連接到具有該 CA 簽名的證書的服務器。
# 創建CA證書目錄
[root@localhost ~]# mkdir tls
[root@localhost ~]# cd tls/
# 創建CA密鑰
[root@localhost tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
..............................................................................++
.....................................................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
# 創建CA證書
[root@localhost tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:
[root@localhost tls]# ll
總用量 8
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
# 創建服務器私鑰
[root@localhost tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
................................................................++
..................++
e is 65537 (0x10001)
[root@localhost tls]# ll
總用量 12
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
# 對私鑰進行簽名
[root@localhost tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
[root@localhost tls]# ll
總用量 16
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr
-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
使用CA證書與私鑰簽名,輸入上面設置的密碼
[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:
#生成客戶端密鑰
[root@localhost tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
....................................................................................................................++
.................................++
e is 65537 (0x10001)
#對客戶端簽名
[root@localhost tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
#創建配置文件
[root@localhost tls]# echo extendedKeyUsage=clientAuth > extfile.cnf
#簽名證書
[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@localhost tls]# ll
總用量 40
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
-rw-r--r--. 1 root root 17 12月 3 19:35 ca.srl
-rw-r--r--. 1 root root 1696 12月 3 19:35 cert.pem
-rw-r--r--. 1 root root 1582 12月 3 19:29 client.csr
-rw-r--r--. 1 root root 28 12月 3 19:32 extfile.cnf
-rw-r--r--. 1 root root 3243 12月 3 19:08 key.pem
-rw-r--r--. 1 root root 1647 12月 3 19:08 server-cert.pem
-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr
-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
# 刪除多余文件
[root@localhost tls]#
在客戶端測試
[root@client ~]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
Version: 19.03.13
API version: 1.40
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:03:45 2020
OS/Arch: linux/amd64
Experimental: false
Server: Docker Engine - Community
Engine:
Version: 19.03.13
API version: 1.40 (minimum version 1.12)
Go version: go1.13.15
Git commit: 4484c46d9d
Built: Wed Sep 16 17:02:21 2020
OS/Arch: linux/amd64
Experimental: false
containerd:
Version: 1.3.9
GitCommit: ea765aba0d05254012b0b9e595e995c09186427f
runc:
Version: 1.0.0-rc10
GitCommit: dc9208a3303feef5b3839f4323d9beb36df0a9dd
docker-init:
Version: 0.18.0
GitCommit: fec3683
到此這篇關于使用TLS加密通訊遠程連接Docker的示例詳解的文章就介紹到這了,更多相關TLS加密遠程連接Docker內容請搜索腳本之家以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持腳本之家!
