当前位置：首页 > news >正文

Docker 安全 Docker HTTPS请求过程与配置

news 2026/2/7 18:45:19

Docker 容器安全注意点

尽量别做的事

尽量不用 --privileged 运行容器（授权容器root用户拥有宿主机的root权限）
尽量不用 --network host 运行容器（使用 host 网络模式共享宿主机的网络命名空间）
尽量不在容器中运行 ssh 服务

尽量要做的事

尽量使用最小化的镜像
尽量以单一进程运行容器
尽量使用最新版本的应用做镜像主进程
尽量使用最新版本的docker
尽量以最低权限运行容器
尽量下载使用官方的镜像或自己构建镜像从私有仓库下载镜像
尽量使用只读的方式挂载数据卷 -v 宿主机目录:容器目录:ro
尽量设置容器重启次数 --restart on-failure:N
尽量以资源限制的方式运行容器 -m --cpu-quota --device-write-bps

HTTPS请求过程与证书获取

http 超文本传输协议 tcp/80 明文传输
https 安全的超文本传输协议 tcp/443 密文传输证书加密

HTTPS请求访问过程【重中之重重中之重】

0）服务端会事先通过 CA 签发证书和私钥
1）客户端发送 https 请求到服务端的 443 端口
2）服务端发送包含公钥、证书有效期及 CA 机构等信息的证书给客户端
3）客户端会先通过 CA 验证证书的有效性
4）若证书有效，客户端会在本地随机生成会话密码并通过服务端发来的公钥加密后返回给服务端
5）服务器用私钥解密获取会话密钥，之后双方即可使用会话密钥加密/解密来实现密文通信

如何获取 ssl 证书？【重要】

云服务商免费申请或是本地openssl等生成

在阿里云、腾讯云、华为云等云服务商申请一年前的免费证书
免费申请SSL证书及部署就是这么简单
阿里云服务器Nginx配置SSL证书，实现HTTPS访问
在服务器本地使用 openssl、mkcert、cfssl、certbot（Let's Encrypt）等工具生成 SSL 证书
一文搞定SSL证书的所有创建问题
如何免费申请 SSL 证书

ssl/tls 加密通常代表证书认证加密

服务器本地 openssl 创建证书

ca 证书和私钥 -> 服务器/客户端证书和私钥
yum install -y openssl
1）创建 CA 私钥和证书
openssl genrsa -out ca.key 2048                             #生成 ca 私钥 私钥长度2048、4096 只要是1024倍数
#genrsa：使用RSA算法产生私钥
#-aes256：使用256位密钥的AES算法对私钥进行加密，这样每次使用私钥文件都将输入密码，可省略
#-out：输出文件的路径，若未指定输出文件，则为标准输出
#4096：指定私钥长度，默认为1024。该项必须为命令行的最后一项参数openssl req -new -key ca.key -out ca.csr                    #生成 ca 证书自签名请求文件openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.pem    #生成 ca 证书
#req：执行证书签发命令
#-new：新证书签发请求
#-x509：生成x509格式证书，专用于创建私有CA时使用
#-days：证书的有效时长,单位是天
#-key：指定私钥路径
#-sha256：证书摘要采用sha256算法
#-subj：证书相关的用户信息(subject的缩写)
#-out：输出文件的路径
2）创建服务端自签名请求文件
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
3）使用CA签发服务端证书（需要签名请求文件，ca 证书，ca 密钥）
openssl x509 -req -days 3650 -in server.csr -signkey ca.key -out server.pemx509：生成x509格式证书
-req：输入csr文件
-in：要输入的csr文件
-CA：指定ca证书的路径
-CAkey：指定ca证书的私钥路径
-CAcreateserial：表示创建证书序列号文件，创建的序列号文件默认名称为ca.srl
完成CA证书 server证书创建后，客户端就可以进行认证【双向认证还需要按照server证书生成方式再生成client证书传送给client端，并且将ca.pam（ca证书）一并传送给客户端，客户端据此判断server.pam的有效性。】

另外对于不同的服务，还需要按照官方文档说明修改相应的配置，使其能够使用https协议并且正确使用了证书。

Docker 安全 Docker HTTPS请求过程与配置

Docker 容器安全注意点尽量别做的事尽量不用 --privileged 运行容器（授权容器root用户拥有宿主机的root权限） 尽量不用 --network host 运行容器（使用 host 网络模式共享宿主机的网络命名空间） 尽量不在容器中运行 ssh 服务尽…...

编程日记 2023/7/30 23:37:10

CD（二） 1. 整体流程2. 环境准备1. jenkins安装2. 编译安装git3. docker安装4. docker-compose安装5. sonarqube安装6. harbor安装7. gitlab私服8. maven安装9. Nexus部署10. K8s部署3. 安装java及编写代码3.1 安装java3.2 安装IntelliJ IDEA3.3 安装tomcat3.4 安装maven3.5 c…...

编程日记 2023/7/30 23:36:07

AOP的妙用

一、改代码自定义注解用于提示该代码已经在AOP中重构了 public interface ReviseToAop {// 用于记录修改状态String value() default ""; }使用注解（无意义，只是表名被修改） ReviseToAop("修改于：2023/7/30&quo…...

编程日记 2023/7/30 23:35:06

CAN转ETHERCAT网关将CAN 总线和 ETHERCAT 网络连接方法

由于好多现场会出现将CAN总线的设备接到EtherCAT网络中，由于协议的不相同，不能直接进行连接，现需一种能同时兼容CAN 总线和ETHERCAT网络的一种设备，由此捷米JM-ECT-CAN 是自主研发的一款 ETHERCAT 从站功能的通讯网关。该产品主要…...

编程日记 2023/7/30 23:34:05

【大数据趋势】7月30日汇率，恒指期货的大数据趋势概率分析。

1. 数据源头之一 : 汇率变化从程序模拟趋势来看，美元在持续弱势状态，周线上正在构建一个新的下跌趋势，而且正在反抽过程中，即将完成，如果没有外部干预，会顺势往下。从月线来看，高点逐步降低&a…...

编程日记 2023/7/30 23:33:04

mac使用mvn下载node-sass 会Binary download failed, trying source

m1 上使用nvm 以下node的版本可以直接下载（Binary download，而不是 trying source）而不用切换mac cpu架构 zhiwenwenzhiwenwendeMBP cockpit % nvm install 14.15.5 Downloading and installing node v14.15.5... Downloading https://node…...

编程日记 2023/7/30 23:32:02

【C++】开源：Muduo网络库配置与使用

😏★,:.☆(￣▽￣)/$:.★ 😏 这篇文章主要介绍Muduo网络库配置与使用。无专精则不能成，无涉猎则不能通。——梁启超欢迎来到我的博客，一起学习，共同进步。喜欢的朋友可以关注一下，下…...

编程日记 2023/7/30 23:31:01

VCS ICO - Intelligent Coverage Optimization

ico是vcs提供的用于优化覆盖率的feature；一般用户通过dist solver bofore等约束了变量的随机概率，而ico会在用户约束的基础上，做一些自动“修正”，以此来优化随机激励，提高随机多样性，加速覆盖率收敛&#…...

编程日记 2023/7/30 23:30:00

【分布式系统】分布式系统的8个谬误

网络可靠对于分布式系统来说，网络、计算、存储是三大基石，系统之间进行拆分隔离之后，那么必定存在网络通讯，而网络是最不可靠的。不管是从硬件层面还是软件层面来说，网络是不可靠的。（断电、配置错误、ID…...

编程日记 2023/7/30 23:28:59

tinkerCAD案例：25. 量角器 - 测量角度

tinkerCAD案例：25. 量角器 - 测量角度原文 Now we’re going to make a protractor! A Protractor is one of the most basic, but essential, tools for making measurements. It is, then, surprising that the modern protractor is barely over 200 years ol…...

编程日记 2023/7/30 23:27:56

Flutter 使用texture_rgba_renderer实现桌面端渲染视频

Flutter视频渲染系列第一章 Android使用Texture渲染视频第二章 Windows使用Texture渲染视频第三章 Linux使用Texture渲染视频第四章全平台FFICustomPainter渲染视频第五章 Windows使用Native窗口渲染视频第六章桌面端使用texture_rgba_renderer渲染视频（本…...

编程日记 2023/7/30 23:26:55

linux虚拟机开机后桌面显示CentOS-7.5-x86盘片文件,并且无法远程连接虚拟机?

在虚拟机启动后遇到了显示CentOS-7.5-x86光盘片文件的问题，并且无法远程连接到虚拟机，有几个可能的解决方法： 检查虚拟机设置：确保虚拟机的网络适配器已正确配置，并且虚拟机配置的网络选项是桥接模式或 NAT 模式&#…...

编程日记 2023/7/30 23:25:55

【Spring Boot 源码学习】走近 AutoConfigurationImportSelector

AutoConfigurationImportSelector 源码解析引言主要内容1. ImportSelector 接口2. DeferredImportSelector 接口3. AutoConfigurationImportSelector 功能概述总结引言上篇博文我们了解了 EnableAutoConfiguration 注解，其中真正实现自动配置功能的核心实现者 …...

编程日记 2023/7/30 23:24:53

系统学习Linux-MySQL数据库备份（四）

一、概述数据库备份是指将数据库中的数据、表格、视图、存储过程、触发器等信息备份到另一个地方，一遍在数据库丢失或损坏时进行恢复，数据库备份是数据库管理中必不可少的一项工作，通过备份可以保护数据库中的数据和业务。二、数据备份的…...

编程日记 2023/7/30 23:23:52

具身智能controller---RT-1（Robotics Transformer）（中---实验介绍）

6 实验实验目的是验证以下几个问题: RT-1可以学习大规模指令数据，并且可以在新任务、对象和环境上实现zero-shot的泛化能力？训练好的模型可以进一步混合多种其他数据（比如仿真数据和来自其他机器人的数据）吗？多种方…...

编程日记 2023/7/30 23:22:50

无涯教程-jQuery - load( url, data, callback)方法函数

load(url，data，callback)方法从服务器加载数据，并将返回的HTML放入匹配的元素中。 load( url, [data], [callback] ) - 语法 [selector].load( url, [data], [callback] ) 这是此方法使用的所有参数的描述- url - 包含请求发送到…...

编程日记 2023/7/30 23:21:48

【Shell】Shell编程之免交互

免交互：不需要人为控制就可以完成的自动化操作自动化运维 Shell脚本和免交互是一个概念，但是两种写法 here document 使用i/o重定向的方式将命令的列表提供给交互式的程序或者命令是一种标准输入，只能接受正确的指令或命令&#x…...

编程日记 2023/7/30 23:20:47

从Vue2到Vue3【七】——Vue2中响应式原理的实现及其缺陷

系列文章目录内容链接从Vue2到Vue3【零】Vue3简介从Vue2到Vue3【一】Composition API（第一章）从Vue2到Vue3【二】Composition API（第二章）从Vue2到Vue3【三】Composition API（第三章）从Vue2到Vue3【四】C…...

编程日记 2023/7/30 23:19:46

用C语言实现堆排序算法

1.设计思路排序的思想将一个数组按递增的顺序进行排序，将数组的第一个位置空下（下标为0），因为会导致子节点和本身同一个结点（i和2i一致），每次堆排序在下标1的位置放上了最大值，然后…...

编程日记 2023/7/30 23:18:45

tauri在github上进行自动更新打包并发版过程，实战操作避坑

从网上找了很多很多的文章，结果还是入坑了，一个问题找了一天才解决： Error A public key has been found, but no private key. Make sure to set TAURI_PRIVATE_KEY environment variable. 596 ELIFECYCLE Command failed with exit code…...

编程日记 2023/7/30 23:17:43