云计算核心技术Docker教程:Docker使用公钥基础结构(PKI)管理集群安全

Docker内置的群模式公钥基础结构(PKI)系统使安全部署容器编排系统变得简单。群集中的节点使用相互传输层安全性(TLS)来验证,授权和加密与群集中其他节点的通信。

Docker内置的群模式公钥基础结构(PKI)系统使安全部署容器编排系统变得简单。群集中的节点使用相互传输层安全性(TLS)来验证,授权和加密与群集中其他节点的通信。

通过运行创建docker swarm init集群时,Docker会将其自身指定为管理器节点。默认情况下,管理器节点会生成一个新的根证书颁发机构(CA)以及一个密钥对,用于保护与加入群集的其他节点之间的通信安全。如果愿意,可以使用docker swarm init命令的–external-ca标志 来指定自己的外部生成的根CA。

当您将其他节点加入集群时,manager节点还会生成两个令牌供使用:一个worker令牌和一个manager令牌。每个令牌都包括根CA证书的摘要和随机生成的秘密。当节点加入群集时,加入的节点使用摘要来验证来自远程管理器的根CA证书。远程管理器使用该秘密来确保加入节点是批准的节点。

每次有新节点加入群集时,管理器都会向该节点颁发证书。证书包含一个随机生成的节点ID,以标识证书公用名(CN)下的节点和组织单位(OU)下的角色。节点ID在当前群集中的节点生命周期中用作加密安全的节点标识。

下图说明了管理器节点和工作器节点如何使用最小的TLS 1.2加密通信。

云计算核心技术Docker教程:Docker使用公钥基础结构(PKI)管理集群安全

默认情况下,群集中的每个节点每三个月更新一次其证书。您可以通过运行docker swarm update –cert-expiry命令来配置此间隔。最小旋转值为1小时。

旋转CA证书

如果群集CA密钥或管理器节点受到破坏,则可以旋转群集根CA,以便所有节点不再信任由旧根CA签名的证书。

运行docker swarm ca –rotate以生成新的CA证书和密钥。如果愿意,可以传递–ca-cert和–external-ca标志以指定根证书,并使用群集外部的根CA。或者,您可以传递–ca-cert和–ca-key标志来指定您希望群使用的确切证书和密钥。

发出docker swarm ca –rotate命令时,会依次发生以下情况:

1.Docker生成交叉签名证书。这意味着将使用旧的根CA证书对新的根CA证书的版本进行签名。此交叉签名的证书用作所有新节点证书的中间证书。这样可以确保仍然信任旧根CA的节点仍可以验证由新CA签名的证书。

2.Docker还告诉所有节点立即更新其TLS证书。此过程可能需要几分钟,具体取决于群集中节点的数量。

3.在群集中的每个节点都具有由新CA签名的新TLS证书之后,Docker会忘记旧的CA证书和密钥材料,并告诉所有节点仅信任新的CA证书。

这也会导致群集的连接令牌发生变化。先前的连接令牌不再有效。

从那时起,所有颁发的所有新节点证书都将使用新的根CA签名,并且不包含任何中间件。

给TA打赏
共{{data.count}}人
人已打赏
云计算

云安全日报210416:思科RV系列路由器发现执行任意代码漏洞,需要尽快升级

2021-4-16 16:34:57

云计算

盒马集市已入驻微信小程序 微信与淘宝“互封”多年或“解冻”?

2021-4-16 17:58:53

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索