以HTTPS的方式运行docker
以HTTPS的方式运行docker保护Docker daemon socket默认情况下,Docker以一种无网络的Unix socket方式运行。也可以通过选项设置使用HTTPsocket。如果需要通过网络以一种安全的方式访问Docker,可以通过tlsverify标签来允许TLS,使用tlscacert标签指定可信的CA证书。在后台守护模式中,仅运行通过CA签名的证书的客户端连接访问。在客户端
以HTTPS的方式运行docker
保护Docker daemon socket
默认情况下,Docker以一种无网络的Unix socket方式运行。也可以通过选项设置使用HTTPsocket。
如果需要通过网络以一种安全的方式访问Docker,可以通过tlsverify标签来允许TLS,使用tlscacert标签指定可信的CA证书。
在后台守护模式中,仅运行通过CA签名的证书的客户端连接访问。在客户端模式下,仅运行一个通过CA签名了的证书来连接客户端
警告: 管理一个CA与使用TLS是一个高级话题。在生产环境中使用之前,请先去了解OpenSSL, x509与TLS。
警告: 一下TLS命令仅适用于Linux上可用证书的生成。macOS上的有个OpenSSL版本生成的证书与Docker有冲突。
使用OpenSSL创建CA, server与client keys
注意: 使用Docker所在宿主机的DNS名称替换所有以下例子中的$HOST。
- 生成CA公钥与私钥:
$ openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............................................................................................................................................................................................++
........++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:Queensland
Locality Name (eg, city) []:Brisbane
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc
Organizational Unit Name (eg, section) []:Sales
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []:Sven@home.org.au
现在已经有一个CA,可以创建服务端的密钥与证书签名请求了(certificate signing request CSR)。确保“Common Name” (例如, 服务器的FQDN或者你的名字) 与你需要连接的Docker的宿主机相匹配。
注意: 使用Docker daemon所在主机的DNS名字替换所有以下例子中的$HOST。
$ openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................++
.................................................................................................++
e is 65537 (0x10001)
$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
- 使用CA签名公钥:
TLS可能来自于某个DNS名字或IP地址,在创建证书的时候需要指明。例如:允许来自10.10.10.20与127.0.0.1的链接。
$ echo subjectAltName = IP:10.10.10.20,IP:127.0.0.1 > extfile.cnf
$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=your.host.com
Getting CA Private Key
Enter pass phrase for ca-key.pem:
为了key适合客户端的认证,创建一个扩展配置文件:
$ echo extendedKeyUsage = clientAuth > extfile.cnf
开始签名公钥:
$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
当生产cert.pem与server-cert.pem之后,可以可以安全地删除这两个证书签名请求文件(CSR):
$ rm -v client.csr server.csr
默认情况下umask为022,密钥在当前账号与当前组中为可读写。为保护证书,防止意外发生,去掉写的权限。将文件改为只读:
$ chmod -v 0400 ca-key.pem key.pem server-key.pem
现在使得Docker daemon只接受来自提供了CA可信的证书的客户端发出的链接:
$ dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem \
-H=0.0.0.0:2376
为了可以链接到Docker并认证证书。需要提供客户端证书与可信的CA:
注意: 使用Docker daemon所在主机的DNS名字替换所有以下例子中的$HOST。
$ docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem \
-H=$HOST:2376 version
注意: Docker使用TLS运行在TCP2376端口上。
警告: 如上面的例子所示,当使用证书认证时,你不需要使用sudo或者docker用户组来运行docker客户端了。意思就是说任何一个持有证书的人都能访问docker deamon,就像root用户访问。保护好这些证书,就如root密码一样。
设置默认加密
如果想docker客户端的链接默认就加密了,可以将这些文件移到当前home目录下的.docker目录里面。或者设置DOCKER_HOST与DOCKER_TLS_VERIFY环境变量(来替换在每次访问中传递-H=tcp://$HOST:2376与–tlsverify)。
$ mkdir -pv ~/.docker
$ cp -v {ca,cert,key}.pem ~/.docker
$ export DOCKER_HOST=tcp://$HOST:2376 DOCKER_TLS_VERIFY=1
Docker后续访问的为默认加密了的
$ docker ps
其他模式
如果不想配置这两步认证方式,还可以通过混合使用flag运行Docker在其他模式下面
Daemon 模式
- tlsverify, tlscacert, tlscert, tlskey集: 客户端认证
- tls, tlscert, tlskey: 不认证客户端
客户端模式
- tls: 基于CA池公钥私钥的服务端认证
- tlsverify, tlscacert: 给定CA的服务端认证
- tls, tlscert, tlskey: 基于给定的CA使用客户端证书认证,不进行服务端认证
- tlsverify, tlscacert, tlscert, tlskey:基于CA的客户端与服务端证书认证。
客户端需要发送客户端证书,只需要将密钥放置~/.docker/{ca,cert,key}.pem
即可。或者,如果证书放置在别的位置,只需要通过环境变量DOCKER_CERT_PATH
指定具体的路径即可。
$ export DOCKER_CERT_PATH=~/.docker/zone1/
$ docker --tlsverify ps
使用curl链接docker的加密端口
使用curl测试API请求,需要用到如下三个额外的命令行标签:
$ curl https://$HOST:2376/images/json \
--cert ~/.docker/cert.pem \
--key ~/.docker/key.pem \
--cacert ~/.docker/ca.pem
更多推荐
所有评论(0)