网站建设与管理是什么工作,合肥建设干部学校网站,云指建站平台,网页设计模板html代码百度云文章目录 一、--insecure-registry是什么二、如何使用--insecure-registry三、--insecure-registry的安全风险四、--insecure-registry的替代方案五、总结参考 一、–insecure-registry是什么
--insecure-registry是docker中用来设置与docker registry通信的安全限制的一个参数… 文章目录 一、--insecure-registry是什么二、如何使用--insecure-registry三、--insecure-registry的安全风险四、--insecure-registry的替代方案五、总结参考 一、–insecure-registry是什么
--insecure-registry是docker中用来设置与docker registry通信的安全限制的一个参数如果设置为true或1意味着Docker将会在与这个registry通信时跨过证书问题不再验证registry的TLS认证证书可以忽略证书错误从而绕过Docker安全机制。 这个描述很奇怪https一般是服务器端开启的客户端必须按照Https访问。除非docker服务器端同时开启了https、http然后客户端默认禁用http而--insecure-registry 允许本地开启http 这个参数的使用主要是为了方便在开发过程中迅速测试镜像或者当运行docker的主机不具备安全加密能力的时候可以选择打开这个开关。
在正式的生产环境中一般情况下禁用这个选项因为这个选项的打开为我们的系统带来很大的安全隐患。
二、如何使用–insecure-registry
使用–insecure-registry我们可以在运行docker命令时添加这个参数。
docker run --rm --insecure-registry registry.local:5000 busybox在上面的命令中我们通过--insecure-registry参数指定了registry的地址为registry.local:5000这意味着docker将会忽略registry.local:5000的SSL证书认证。
在Docker 1.13.1及之后的版本中可以使用以下的方式来配置–insecure-registry的默认值
{insecure-registries : [registry.local:5000]
}这个配置文件需要保存为 /etc/docker/daemon.json。
需要注意的是在Windows操作系统中这个配置文件需要在C:\ProgramData\Docker\config目录下创建。
记得使用 service docker restart 重启docker服务
上述方法只能对单个服务器生效如果想对所有的生效可以使用 “insecure-registries” : [ “0.0.0.0/0” ]
三、–insecure-registry的安全风险
虽然使用--insecure-registry参数可以帮助我们快速测试镜像但是打开这个选项也带来了很大的安全风险。
当我们忽略SSL证书时意味着所有与该registry通信的数据都是明文传输容易受到中间人攻击。黑客可以通过在通信过程中截取传输的数据来获取敏感信息或者篡改数据。
同时如果registry服务器本身被黑客攻击会助长黑客利用中间人攻击的可能性可以通过域名欺骗等方式进行攻击。
四、–insecure-registry的替代方案
如果我们有必要经常使用–insecure-registry可以选择使用内部CA证书将证书写入docker TLS认证证书池中实现相对的安全性。这个过程需要创建自签名证书来为docker registry签名。
下面是一个创建自签名证书的例子
openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out csr.pem
openssl x509 -req -in csr.pem -signkey key.pem -out cert.crt执行完上面的命令会生成三个文件key.pem、csr.pem、cert.crt其中cert.crt就是我们创建的自签名证书。我们将cert.crt拷贝到所有需要访问registry的docker客户端主机上然后重新启动docker服务。
当我们在运行docker命令时可以使用–tlsverify参数打开docker TLS验证。我们可以将上面生成的key.pemcsr.pemcert.crt放在服务器的某个目录中然后使用以下命令启动docker
docker --tlsverify --tlscacert/path/to/ca.pem --tlscert/path/to/cert.pem --tlskey/path/to/key.pem -H127.0.0.1:5555 version通过使用–tlsverify参数在与registry通信时Docker将会验证认证证书的有效性实现了更高的安全性。
五、总结
–insecure-registry是Docker中用来临时绕过TLS认证证书认证的参数可以在开发、测试过程中节省时间和精力。但是在生产环境中为了保证系统的安全性我们需要关闭这个参数。
如果确实有必要经常使用这个参数我们可以选择使用内部CA证书来实现相对的安全性。
在使用–insecure-registry时我们需要时刻注意安全风险并采取相应的防范措施。
参考
–insecure-registry详解
