1.环境准备 # 查看Docker服务器主机名hostnamectl 这里记住我的主机名s130就好 # 静态主机名修改vi /etc/hostname# 临时主机名修改(重启失效)hostname s130   2.创建TLS证书 创建create_crets.sh文件并执行,生成的证书在/certs/docker目录下, # create_crets.sh,将[证书生成脚本]内容复制进去touch create_crets.sh chmod 755 create_crets.sh # 证书生…

#### 1.环境准备 ```bash# 查看Docker服务器主机名hostnamectl```  这里记住我的主机名s130就好 ```bash# 静态主机名修改vi /etc/hostname# 临时主机名修改(重启失效)hostname s130 ``` #### 2.创建TLS证书 创建create_cr…

一. 前言 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题. 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门. 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被截权,一台ucloud服务器被挖矿内存被打满.意味着环境都要重新装了,想洗洗睡的心都有了,做人真的不能装~ 二. 实操 1.…

通过 TLS来进行远程访问 百度百科 - TLS.我们需要在远程 docker 服务器(运行 docker 守护进程的服务器)生成 CA 证书,服务器证书,服务器密钥,然后自签名,再颁发给需要连接远程 docker 容器的服务器 之前对生成docker的tls证书的不是很理解,学习了一下,写了一个脚本直接生成docker需要的证书,下面有脚本的所有代码 主要流程有三步 1.生成 CA 密钥和证书 #生成ca私钥(使用aes256加密) read -s PASSWORD openssl genrs…

网上找的.大多不能用...一下是我自己找了半天的方法...,可能是版本太旧的原因 下图解决方法: ubuntu: 18.04 docker: Docker version 18.09.2, build 6247962 1.第一步 : vim /lib/systemd/system/docker.service 2.第二步: 将  画了黄色圆圈的那一行 改成 如图所示...…

目录: 以非root用户身份管理Docker 配置Docker以在启动时启动 配置Docker守护程序监听连接的位置 以非root用户身份管理Docker 默认情况下,Docker运行权限由用户root所有,而其他用户只能通过sudo使用它.Docker守护程序始终以root用户身份运行. 如果不想在docker命令前加上sudo,需要创建一个名为docker的Unix组并向其添加用户. 要创建docker组并添加您的用户: 1.创建docker组. $ sudo groupadd docker…

docker开启远程访问端口,防止非法访问 配置证书认证 配置防火墙或安全策略 #!/bin/bash # docker.tls.sh # 环境centos 7 ,root # 创建 Docker TLS 证书 ##########配置信息 Port=2376 Node=$(hostname) IP=$(ip add|sed -nr 's#^.*inet (.*)/[1-9].*(ens|eth).*$#\1#gp') PASSWORD="88888888" COUNTRY="…

前言:Docker直接开启2375端口是不安全的,别人只要连上之后就可以任意操作,下面是开启Docker的TLS和CA认证方法,并使用Jenkins和Portainer连接. 一.生成证书 查看服务器主机名 hostname auto-generate-docker-tls-ca.sh # !/bin/bash # 一键生成TLS和CA证书 # Create : 2021-08-25 # Update : 2021-08-25 # @Autor : wuduoqiang # 服务器主机名 SER…

Docker常见端口 我看到的常见docker端口包括: 2375:未加密的docker socket,远程root无密码访问主机2376:tls加密套接字,很可能这是您的CI服务器4243端口作为https 443端口的修改2377:群集模式套接字,适用于群集管理器,不适用于docker客户端5000:docker注册服务4789和7946:覆盖网络 开启配置 方法一 首先是怎么配置远程访问的API: sudo vim /etc/default/docker 加入下面一行 DOCKER_OPT…

Docker 配置与实践清单 http://www.sohu.com/a/254904706_198222 文章对来官方文档及 Docker Links[1] 中链接内容进行归档整理,包含了日常工作中常用的 Docker 概念与命令,如果对于 Linux 常用操作尚不熟悉的可以参考 Linux Commands CheatSheet[2]. Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源.Docker 可以让开发者打包他们的应用以及依赖包到一个轻量…

Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源.Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级.可移植的容器中,然后发布到任何流行的 Linux 机器上. 虚拟机最大的瓶颈在于其需要特殊硬件虚拟化技术支持,并且携带完整的操作系统:而 Docker 没有硬件虚拟化,可以运行在物理机.虚拟机,甚至嵌套运行在 Docker 容器内,并且其不携带操作系统的,会轻巧很多.在调用宿主机的内存.CPU.磁盘等等资源时,虚拟机是利用 Hypervi…

目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名请求 生成 CA 证书和私钥 创建 kubernetes 证书 生成 kubernetes 证书和私钥 创建 admin 证书 生成 admin 证书和私钥 创建 kube-proxy 证书 生成 kube-proxy 客户端证书和私钥 校验证书 使用 opsnssl 命令 使用 cfssl-cer…

目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名请求 生成 CA 证书和私钥 创建 kubernetes 证书 生成 kubernetes 证书和私钥 创建 admin 证书 生成 admin 证书和私钥 创建 kube-proxy 证书 生成 kube-proxy 客户端证书和私钥 校验证书 使用 opsnssl 命令 使用 cfssl-cer…

转自: https://mritd.me/2018/01/07/kubernetes-tls-bootstrapping-note/ 前段时间撸了一会 Kubernetes 官方文档,在查看 TLS bootstrapping 这块是发现已经跟 1.4 的时候完全不一样了:目前所有搭建文档也都保留着 1.4 时代的配置,在看完文档后发现目前配置有很多问题,同时也埋下了 隐藏炸弹,这个问题可能会在一年后爆发-..后果就是集群 node 全部掉线:所以仔细的撸了一下这个文档,从元旦到写此文章的时间都…

docker-daemon.json各配置详解 { “api-cors-header”:"", ——————在引擎API中设置CORS标头 “authorization-plugins”:[], ——————要加载的授权插件 “bridge”:"", ————将容器附加到网桥 “cgroup-parent”:"", ——————为所有容器设置父cgroup “cluster-store”:"", ——————分布式存储后端的U…

前言 前不久我发表了一篇关于TLS协议配置被我钻了空子,经过第三方合作伙伴验证,针对此TLS协议存在不安全套件,急催速速解决,那么我们本篇开始继续整活!第三方合作伙伴对平台安全严苛要求,我们已连续发版十几次进行处理,在此过程中使得我对安全有了进一步认识,具体认识则是在技术解决方案和密码学盲点两方面.下面我们来了解两个方面,可能没有完全深入,至少对作为开发者的我们而言,应已基本足够 .NET Core Cipher(套件)配置 如果没有项目上的苛刻要求,我断然也就无法在此方面展开研究和实践.本文具…

Harbor配置https认证由于Harbor不附带任何证书,它默认使用HTTP来提供注册表请求.但是,强烈建议为任何生产环境启用安全性.因为测试使用,使用自签名证书: 1.创建CA证书 首先创建个目录存放 mkdir /root/ca -p cd /root/ca 以下命令创建CA证书 openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt 其中:(req:申请证书签署请求:-…

公司访问外网全部需要经过代理服务器,在使用docker的过程中,发现就算为docker配置了代理,还是会因为没有代理服务器认证,导致pull操作失败,报如下错误: Error response from daemon: Get https://registry-1.docker.io/v2/: Proxy Authentication Required. 在官网或者墙内网上找方法,都只讲到配置代理这一步,并没有讲到如果代理服务器需要认证怎么办.于是乎***,google it,最后找到了配置的方…

Docker配置参考 一.参数列表 参考网址:https://docs.docker.com/engine/reference/commandline/dockerd/#options Usage: dockerd COMMAND A self-sufficient runtime for containers. Options: --add-runtime runtime Register an additional OCI compatible runtime (default []) --…

gitlab配置ldap认证: vim /etc/gitlab/gitlab.rb 添加以下内容: gitlab_rails['ldap_enabled'] = true gitlab_rails['ldap_servers'] = YAML.load <<-'EOS' main: # 'main' is the GitLab 'provider ID' of this LDAP server label: 'LDAP' host: 'xxx.xxx.xxx.xxx' #指定ldap服务器地址…

前言 前面篇章的gRPC都是明文传输的,容易被篡改数据.本章将介绍如何为gRPC添加安全机制,包括TLS证书认证和Token认证. TLS证书认证 什么是TLS TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能. TLS的作用 TLS协议主要解决如下三个网络安全问题. 保密(messag…

Go gRPC 系列: 跟我一起学Go系列:gRPC 拦截器使用 跟我一起学Go系列:gRPC 入门必备 第一篇入门说过 gRPC 底层是基于 HTTP/2 协议的,HTTP 本身不带任何加密传输功能,基于 SSL 的 HTTPS 协议才是加密传输.gRPC 使用了 HTTP/2 协议但是并未使用 HTTPS,即少了加密传输的部分. 对于加密传输的部分 gRPC 将它抽出来作为一个组件,可以由用户自由选择.gRPC 内默认提供了两种 内置的认证方式: 基于 CA 证书的 SSL/TLS 认证方式…

一.TLS认证简介 1.TLS认证 (1)认证过程 · 最安全认证技术 · 实施最复杂 (2)TLS双向证书认证 · 服务器对客户端进行认证 · 客户端对服务器进行认证 2.TLS认证过程 3.交换机认证模式 (1)MAC认证模式 · 该模式下连接到同一端口的每个设备都需要单独进行认证: · 华为交换机默认模式. (2)端口认证模式 · 只要连接到端口的某个客户端通过认证: · 其它客户端则不需要认证,就可以访问网络资源. 4.测试组网 (1)组网说明 · 交换机使用华为的S5720: · 服务…

docker默认使用bridge模式,通过网桥连接到宿主机,而容器内部的ip则从网桥所在的ip段取未用的ip.这样做一个不方便的地方在于容器内部的ip不是固定的,想要连接容器时只能通过映射到宿主机的端口,因而有很多项目使用overlay来为docker提供网络的配置,比如Pipework.Flannel.Kubernetes.Weave.opencontrail等. 想要使用overlay来为docker配置网络,需要首先了解下docker的网络模式: --net=bridge — The de…

/* * 环境:LNMP(CentOS 6.6 + Nginx 1.8.0) */ 在 Nginx 下配置 Basic 认证需要依靠 Nginx 的 http_auth_basic_module 模块(官方文档:http://nginx.org/en/docs/http/ngx_http_auth_basic_module.html) 配置过程: ① 生成认证文件,形式为 用户名:密码 密码采用 crypt 方式加密(用户名:user ,密码:123456) 文件保存在 /usr/local/n…

2.5 docker配置桥接网络(上): 为了使本地网络中的机器和Docker 容器更方便的通信,我们经常会有将Docker容器 配置到和主机同一网段的需求. 这个需求其实很容器实现, 我们只需要将Docker容器个I 和宿主机的网卡桥接起来,在给Docker容器配置IP就可以了. docker:/root# /sbin/ifconfig -a docker0 Link encap:Ethernet HWaddr 82:1A:3F:70:76:A5 inet addr:172.17.42.1 B…

国内拉去docker镜像慢得可怜,为了解决这个问题,可为docker配置加速器. 1.修改daemon配置文件 sudo mkdir -p /etc/dockervim /etc/docker/daemon.json 按“i“输入内容: { "registry-mirrors":["http://d168789d.m.daocloud.io"] } 按esc,输入“:wq” 后回车. sudo systemctl daemon-reload sudo systemc…

首先要下载swarm docker pull swarm 然后停掉docker服务: service docker stop 然后启动deamon: sudo dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock & 查看是否监听2375端口: netstat -ant…

这篇文章主要介绍了Docker 配置固定IP和桥接的实现方法的相关资料,这里详细介绍了Docker 的四种网络模式及如何实现桥接的案例,需要的朋友可以参考下 docker默认使用bridge模式,通过网桥连接到宿主机,而容器内部的ip则从网桥所在的ip段取未用的ip.这样做一个不方便的地方在于容器内部的ip不是固定的,想要连接容器时只能通过映射到宿主机的端口,因而有很多项目使用overlay来为docker提供网络的配置,比如Pipework.Flannel.Kubernetes.Weave.o…

One of the latest beta features of the open source Docker v2 Registry is the ability to act as a registry proxy cache for images hosted at Docker Hub. Running a registry cache allows you to store images locally, reducing redundant image pulls across…