产品分类
您现在的位置: 官网首页 > 行业新闻 > 云计算核心技术Docker教程:Docker使用公钥基础结构(PKI)管理集群安全

云计算核心技术Docker教程:Docker使用公钥基础结构(PKI)管理集群安全

时间:2021-04-19 15:38 来源: 作者: 点击:

Docker内置的群形式公钥根底结构体系使安全布置容器编列体系变得简略。群会集的凯时app节点运用彼此传输层安全性来验证,授权和加密与群会集其他节点的通讯。

经过运转创立docker swarm init集群时,Docker会将其本身指定为办理器节点。默许状况下,办理器节点会生成一个新的根证书颁布安排以及一个密钥对,用于维护与参加群集的其他节点之间的通讯安全。假如乐意,能够运用docker swarm init指令的--external-ca标志 来指定自己的外部生成的根CA。

当您将其他节点参加集群时,manager节点还会生成两个令牌供运用:一个worker令牌和一个manager令牌。每个令牌都包括根CA证书的摘要和随机生成的隐秘。当节点参加群集时,参加的节点运用摘要来验证来自长途办理器的根CA证书。长途办理器运用该隐秘来保证参加节点是同意的节点。

每次有新节点参加群集时,办理器都会向该节点颁布证书。证书包括一个随机生成的节点ID,以标识证书共用名下的节点和安排单位下的人物。节点ID在当时群会集的节点生命周期中用作加密安全的节点标识。

下图说明晰办理器节点和作业器节点怎么运用最小的TLS 1.2加密通讯。

TIM截图20210416172957

默许状况下,群会集的每个节点每三个月更新一次其证书。您能够经过运转docker swarm update --cert-expiry指令来装备此距离。最小旋转值为1小时。

旋转CA证书

假如群集CA密钥或办理器节点受到破坏,则能够旋转群集根CA,以便一切节点不再信赖由旧根CA签名的证书。

运转docker swarm ca --rotate以生成新的CA证书和密钥。假如乐意,能够传递--ca-cert和--external-ca标志以指定根证书,并运用群集外部的根CA。或许,您能够传递--ca-cert和--ca-key标志来指定您期望群运用的切当证书和密钥。

宣布docker swarm ca --rotate指令时,会顺次产生以下状况:

1.Docker生成穿插签名证书。这意味着将运用旧的根CA证书对新的根CA证书的版别进行签名。此穿插签名的证书用作一切新节点证书的中心证书。这样能够保证依然信赖旧根CA的节点仍能够验证由新CA签名的证书。

2.Docker还告知一切节点当即更新其TLS证书。此进程或许需求几分钟,详细取决于群会集节点的数量。

3.在群会集的每个节点都具有由新CA签名的新TLS证书之后,Docker会忘掉旧的CA证书和密钥资料,并告知一切节点仅信赖新的CA证书。

这也会导致群集的衔接令牌产生变化。从前的衔接令牌不再有用。

从那时起,一切颁布的一切新节点证书都将运用新的根CA签名,并且不包括任何中心件。