docker注意事项和https
docker容器安全注意:
盡量別做的事:
盡量不用 --privileged 運行容器授權(quán)容器root用戶擁有宿主機的root權(quán)限
盡量不在 容器中運行 ssh 服務(wù)
盡量不用 --network host 使用 host 網(wǎng)絡(luò)模式運行容器
盡量要做的事:
盡量使用最小化的鏡像
盡量使用最少資源和最低權(quán)限運行容器
盡量使用只讀的方式掛載數(shù)據(jù)卷 -v host:container:ro
盡量使用 on-failure 限制容器的重啟次數(shù)
運行容器時要限制 CPU、內(nèi)存、IO 的使用上限
盡量使用官方的鏡像下載或者自己構(gòu)建鏡像從私有倉庫中下載
HTTPS
http ? 80 ? 明文傳輸
https ?443 ?加密傳輸 ? 證書加密 ? ?
ca 證書和私鑰 ?-> ?證書 和 私鑰
ssl/tls加密 即 證書認(rèn)證加密
//https請求訪問的過程?
0) 服務(wù)端會事先通過CA生成證書和私鑰
1) 客戶端發(fā)送https請求到服務(wù)端的443端口
2) 服務(wù)端發(fā)送包含公鑰、證書有效期及ca機構(gòu)等信息的證書給客戶端
3) 客戶端會先通過CA驗證證書有效性
4) 若證書有效客戶端會在本地生成會話密鑰并通過server發(fā)來的公鑰加密返回給服務(wù)端
5) 服務(wù)端會用私鑰解密得到會話密鑰,之后雙方即可使用會話密鑰加密/解密來實現(xiàn)密文通信
//如何獲取ssl證書?
1)在 阿里云/華為云/騰訊云 申請 一年期的免費證書
2)openssl、mkcert、let's encrypt 自簽證書
#創(chuàng)建CA證書
openssl genrsa -out ca.key 4096
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
#創(chuàng)建自簽名請求文件
openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.csr
#CA簽發(fā)證書文件
openssl x509 -req -days 365 -in server.csr -signkey ca.key -out server.crt
四大重啟策略
①no 總不重啟
②always ?總是重啟
③on-failure 非正常狀態(tài)下重啟,可以指定次數(shù)
④unless-stopped 總是重啟,但是在docker啟動情況下不重啟(docker是守護者)
?
總結(jié)
以上是生活随笔為你收集整理的docker注意事项和https的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 51.网页设计规则#1_字体设计
- 下一篇: JK罗琳 2008哈佛毕业典礼演讲词(原