无码国产激情在线观看,亚洲国产精品一区二区三区,亚洲国产日韩在线第一页

人妖在线一区,国产日韩欧美一区二区综合在线,国产啪精品视频网站免费,欧美内射深插日本少妇

公司動(dòng)態(tài)

產(chǎn)品資訊

行業(yè)資訊

讓我們來理一下，最開始發(fā)現(xiàn)docker中莫名其妙多了幾個(gè)鏡像和正在運(yùn)行的容器，而且很吃CPU，且2375端口未設(shè)置ip訪問規(guī)則，意思就是所有人都可以通過你的2375端口操作你的docekr,且用啟動(dòng)容器掛載宿主機(jī)文件夾，因?yàn)閐ocker使用root權(quán)限啟動(dòng)的，所以所有人都可以通過你的2375端口以root用戶控制你的宿主機(jī)。

下面講一下我們的應(yīng)對(duì)步驟：

1、修改docker的2375端口為另外的端口，這只是權(quán)宜之計(jì)。

$ vi /usr/lib/systemd/system/docker.service

重啟docker:

$ systemctl daemon-reload
$ systemctl restart docker

2、給docker進(jìn)行tls加密

#!/bin/bash
mkdir -p /root/tls/pem
DOMAIN_HOST=`ifconfig eth0 | grep "inet" | awk '{ print $2}' | sed -n '1p;1q'`
#DOMAIN_HOST=`hostname` #選擇域名方案最好
HOST=$DOMAIN_HOST
# 自定義信息
PASSWORD="yourPassword"
COUNTRY=CN
PROVINCE=gd
CITY=gz
ORGANIZATION=dounine
GROUP=dg
NAME=lake
SUBJ="/C=$COUNTRY/ST=$PROVINCE/L=$CITY/O=$ORGANIZATION/OU=$GROUP/CN=$HOST"
# 自定義信息
#============================================================================================
#此形式是自己給自己簽發(fā)證書,自己就是CA機(jī)構(gòu),也可以交給第三方機(jī)構(gòu)去簽發(fā)
# 生成根證書RSA私鑰,password作為私鑰密碼（身份證）
openssl genrsa -passout pass:$PASSWORD -aes256 -out /root/tls/pem/ca-key.pem 4096
# 2.用根證書RSA私鑰生成自簽名的根證書(營業(yè)執(zhí)照)
openssl req -new -x509 -days 365 -passin pass:$PASSWORD -key /root/tls/pem/ca-key.pem -sha256 -subj $SUBJ -out /root/tls/pem/ca.pem
#============================================================================================
#給服務(wù)器簽發(fā)證書
# 1.服務(wù)端生成自己的私鑰
openssl genrsa -out /root/tls/pem/server-key.pem 4096
# 2.服務(wù)端生成證書(里面包含公鑰與服務(wù)端信息)
openssl req -new -sha256 -key /root/tls/pem/server-key.pem -out /root/tls/pem/server.csr -subj "/CN=$DOMAIN_HOST"
# 3.通過什么形式與我進(jìn)行連接,可設(shè)置多個(gè)IP地扯用逗號(hào)分隔
echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf
# 4.權(quán)威機(jī)構(gòu)對(duì)證書進(jìn)行進(jìn)行蓋章生效
openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/server.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/server-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
#給客戶端簽發(fā)證書
openssl genrsa -out /root/tls/pem/client-key.pem 4096
openssl req -subj '/CN=client' -new -key /root/tls/pem/client-key.pem -out /root/tls/pem/client.csr
echo extendedKeyUsage = clientAuth > /tmp/extfile.cnf
openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/client.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/client-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
# 清理文件
rm -rf /root/tls/pem/ca-key.pem
rm -rf /root/tls/pem/{server,client}.csr
rm -rf /root/tls/pem/ca.srl
# 最終文件
# ca.pem  ==  CA機(jī)構(gòu)證書
# client-cert.pem  ==  客戶端證書
# client-key.pem  ==  客戶私鑰
# server-cert.pem  == 服務(wù)端證書
# server-key.pem  ==  服務(wù)端私鑰

注意：

當(dāng)DOMAIN_HOST設(shè)置成域名時(shí)，echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf這段代碼的$DOMAIN_HOST應(yīng)該替換為你的服務(wù)器的公網(wǎng)ip
echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf中的IP:0.0.0.0表示所有ip都可以通過攜帶證書訪問，雖然這里是設(shè)定了所有，但是不應(yīng)該省略顯示的定義自己服務(wù)器的公網(wǎng)ip。即為IP:$yourip,IP:0.0.0.0，而不是IP:0.0.0.0

賦予該文件執(zhí)行權(quán)限：

$ chmod +x tls.sh

執(zhí)行該shell腳本后，會(huì)在/root/tls/pem目錄下生成ca.pem、client-cert.pem、client-key.pem 、server-cert.pem、server-key.pem。

然后修改docker配置：

$ vim /usr/lib/systemd/system/docker.service

添加：

		--tlsverify \
        --tlscacert=/root/tls/pem/ca.pem \
        --tlscert=/root/tls/pem/server-cert.pem \
        --tlskey=/root/tls/pem/server-key.pem \

重啟docker:

$ systemctl daemon-reload
$ systemctl restart docker

現(xiàn)在使用docker remote api進(jìn)行連接：

無認(rèn)證：

$ docker -H tcp://192.168.0.150:2376 version

會(huì)報(bào)錯(cuò)未認(rèn)證。

攜帶認(rèn)證方式：

docker --tlsverify --tlscacert=/root/tls/pem/ca.pem --tlscert=/root/tls/pem/client-cert.pem --tlskey=/root/tls/pem/client-key.pem -H tcp://192.168.0.150:2376 version

到此這篇關(guān)于docker remote api一鍵TLS加密的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)docker remote api一鍵TLS加密內(nèi)容請(qǐng)搜索本站以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持本站！

美國快速服務(wù)器

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。

相關(guān)文章

kernel-headers下載

kernel-headers-2.2.1-4

找不到config.inc.php 沒有config.inc.php這個(gè)文件

libtcl8.3下載|無法找到libtcl8.3

libmysqlclient.so.10無法找到

Linux+Apache+PHP+MySQL+Zend Optimizer+PHPMyAdmin

Zlib是什么?|Zlib的作用是什么?|Zlib有什么作用?

glibc安裝錯(cuò)誤|glibc安裝出錯(cuò)

什么是glibc?glibc是什么?什么是freetype?freetype是什么?什么是?Xlib是什么?什么是lo

ERROR 1045 (28000): Access denied for user root@localhost (using password: NO)