Docker 容器服务的注册、发现及Docker安全

目录

Docker容器服务的注册和发现

1、什么是服务注册与发现?

2、什么是consul

consul的部署

1、环境准备

2、部署consul服务器

1)建立 Consul 服务

2)设置代理,在后台启动 consul 服务端

3)查看集群信息

4)通过 http api 获取集群信息

3、registrator服务器部署

1)安装 Gliderlabs/Registrator

2)测试服务发现功能是否正常

3)验证 http 和 nginx 服务是否注册到 consul

4)在consul服务器使用curl测试连接服务器

4、consul-template的部署

1)准备 template nginx 模板文件

2)编译安装nginx

3)配置 nginx

4)配置并启动 template

5)访问 template-nginx

6)增加一个 nginx 容器节点

consul总结

Docker安全

1、尽量别做的事

2、尽量要做的事

3、DockerClient 端与 DockerDaemon 的通信安全

使用证书访问的工作流程

4、使用OpenSSL创建自签名证书的步骤

1)创建CA私钥和证书

2)创建服务端证书自签名请求文件

3)基于 CA私钥、证书 和 服务端证书自签名请求文件 签发服务端证书


Docker容器服务的注册和发现

1、什么是服务注册与发现?

服务注册与发现是微服务架构中不可或缺的重要组件。起初服务都是单节点的,不保障高可用性,也不考虑服务的压力承载,服务之间调用单纯的通过接口访问。直到后来出现了多个节点的分布式架构,起初的解决手段是在服务前端负载均衡,这样前端必须要知道所有后端服务的网络位置,并配置在配置文件中。这里就会有几个问题:
●如果需要调用后端服务A-N,就需要配置N个服务的网络位置,配置很麻烦
●后端服务的网络位置变化,都需要改变每个调用者的配置

既然有这些问题,那么服务注册与发现就是解决这些问题的。后端服务A-N可以把当前自己的网络位置注册到服务发现模块,服务发现就以K-V的方式记录下来,K一般是服务名,V就是IP:PORT。服务发现模块定时的进行健康检查,轮询查看这些后端服务能不能访问的了。前端在调用后端服务A-N的时候,就跑去服务发现模块问下它们的网络位置,然后再调用它们的服务。这样的方式就可以解决上面的问题了,前端完全不需要记录这些后端服务的网络位置,前端和后端完全解耦!

2、什么是consul

consul是google开源的一个使用go语言开发的服务管理软件

  • 支持多数据中心、分布式高可用的、服务发现和配置共享。
  • 采用Raft算法,用来保证服务的高可用。
  • 内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。
  • 服务部署简单,只有一个可运行的二进制的包。每个节点都需要运行agent,他有两种运行模式server 和 client。 每个数据中心官方建议需要3或5个server节点以保证数据安全,同时保证server-leader的选举能够正确的进行。

client模式下,所有注册到当前节点的服务会被转发到server节点,本身是不持久化这些信息

server模式下,功能和client模式相似,唯一不同的是,它会把所有的信息持久化到本地,这样遇到故障,信息是可以被保留的。

server-leader是所有server节点的老大,它和其它server节点不同的是,它需要负责同步注册的信息给其它的server节点同时也要负责各个节点的健康监测

consul提供的一些关键特性:

  • 服务注册与发现:consul通过DNS或者HTTP接口使服务注册和服务发现变的很容易,一些外部服务,例如saas提供的也可以一样注册。
  • 健康检查:健康检测使consul可以快速的告警在集群中的操作。和服务发现的集成,可以防止服务转发到故障的服务上面。
  • Key/Value存储:一个用来存储动态配置的系统。提供简单的HTTP接口,可以在任何地方操作。
  • 多数据中心:无需复杂的配置,即可支持任意数量的区域。
     

安装consul是用于服务注册,也就是容器本身的一些信息注册到consul里面,其他程序可以通过consul获取注册的相关服务信息,这就是服务注册与发现。

consul的部署

主机IP运行的服务
consul服务器192.168.3.100运行consul服务、nginx服务、consul-template守护进程
registrator服务器192.168.3.101运行registrator容器、运行nginx容器

1、环境准备

systemctl stop firewalld.service    #关闭防火墙
setenforce 0        #关闭selinux

2、部署consul服务器

1)建立 Consul 服务

mkdir /data/consul    #创建一个consul目录
cp consul_0.9.2_linux_amd64.zip /data/consul    #将上传的consul压缩包复制过去
cd /data/consul    
unzip consul_0.9.2_linux_amd64.zip    #解压压缩包
mv consul /usr/local/bin/    #将解压的文件移动到/usr/local/bin/目录下

2)设置代理,在后台启动 consul 服务端

consul agent \
-server \
-bootstrap \
-ui \
-data-dir=/var/lib/consul-data \
-bind=192.168.3.100 \
-client=0.0.0.0 \
-node=consul-server01 &> /var/log/consul.log &-server: 以server身份启动。默认是client。
-bootstrap :用来控制一个server是否在bootstrap模式,在一个数据中心中只能有一个server处于bootstrap模式,当一个server处于 bootstrap模式时,可以自己选举为 server-leader。
-bootstrap-expect=2 :集群要求的最少server数量,当低于这个数量,集群即失效。
-ui :指定开启 UI 界面,这样可以通过 http://localhost:8500/ui 这样的地址访问 consul 自带的 web UI 界面。
-data-dir :指定数据存储目录。
-bind :指定用来在集群内部的通讯地址,集群内的所有节点到此地址都必须是可达的,默认是0.0.0.0。
-client :指定 consul 绑定在哪个 client 地址上,这个地址提供 HTTP、DNS、RPC 等服务,默认是 127.0.0.1。
-node :节点在集群中的名称,在一个集群中必须是唯一的,默认是该节点的主机名。
-datacenter :指定数据中心名称,默认是dc1。

netstat -natp | grep consul启动consul后默认会监听5个端口:
8300:replication、leader farwarding的端口
8301:lan cossip的端口
8302:wan gossip的端口
8500:web ui界面的端口
8600:使用dns协议查看节点信息的端口

3)查看集群信息

#查看members状态
consul members#查看集群状态
consul operator raft list-peers

4)通过 http api 获取集群信息

curl 127.0.0.1:8500/v1/status/peers 			#查看集群server成员
curl 127.0.0.1:8500/v1/status/leader			#集群 server-leader
curl 127.0.0.1:8500/v1/catalog/services			#注册的所有服务
curl 127.0.0.1:8500/v1/catalog/nginx			#查看 nginx 服务信息
curl 127.0.0.1:8500/v1/catalog/nodes			#集群节点详细信息

3、registrator服务器部署

1)安装 Gliderlabs/Registrator

docker run -d \
--name=registrator \
--net=host \
-v /var/run/docker.sock:/tmp/docker.sock \
--restart=always \
gliderlabs/registrator:latest \
--ip=192.168.3.101 \
consul://192.168.3.100:8500--net=host :把运行的docker容器设定为host网络模式。
-v /var/run/docker.sock:/tmp/docker.sock :把宿主机的Docker守护进程(Docker daemon)默认监听的Unix域套接字挂载到容器中。
--restart=always :设置在容器退出时总是重启容器。
--ip :刚才把network指定了host模式,所以我们指定ip为宿主机的ip。
consul :指定consul服务器的IP和端口。

2)测试服务发现功能是否正常

docker run -itd -p:83:80 --name test-01 -h test01 nginx
docker run -itd -p:84:80 --name test-02 -h test02 nginx
docker run -itd -p:88:80 --name test-03 -h test03 httpd
docker run -itd -p:89:80 --name test-04 -h test04 httpd

3)验证 http 和 nginx 服务是否注册到 consul

浏览器中,输入 http://192.168.3.100:8500,在 Web 页面中“单击 NODES”,然后单击“consurl-server01”,会出现 5 个服务。

4)在consul服务器使用curl测试连接服务器

curl 127.0.0.1:8500/v1/catalog/services 

4、consul-template的部署

Consul-Template是基于Consul的自动替换配置文件的应用。Consul-Template是一个守护进程,用于实时查询Consul集群信息并更新文件系统上任意数量的指定模板,生成配置文件。更新完成以后,可以选择运行 shell 命令执行更新操作,重新加载 Nginx。

Consul-Template可以查询Consul中的服务目录、Key、Key-values 等。这种强大的抽象功能和查询语言模板可以使 Consul-Template 特别适合动态的创建配置文件。例如:创建Apache/Nginx Proxy Balancers 、 Haproxy Backends等。

1)准备 template nginx 模板文件

//在consul服务器上操作
vim /data/consul/nginx.ctmpl
#定义nginx upstream一个简单模板
upstream http_backend {{{range service "nginx"}}server {{.Address}}:{{.Port}};{{end}}
}
server {listen 8000;server_name localhost 192.168.3.100;access_log /var/log/nginx/kgc.com-access.log;	#修改日志路径index index.html index.php;location / {proxy_set_header HOST $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header Client-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://http_backend;}
}

2)编译安装nginx

yum -y install pcre-devel zlib-devel gcc gcc-c++ make
useradd -M -s /sbin/nologin nginx
tar zxvf nginx-1.22.0.tar.gz -C /data/
cd /data/nginx-1.22.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make installln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/

3)配置 nginx

vim /usr/local/nginx/conf/nginx.conf
......
http {include       mime.types;include  vhost/*.conf;       				#添加虚拟主机目录default_type  application/octet-stream;
......//创建虚拟主机目录
mkdir /usr/local/nginx/conf/vhost//创建日志文件目录
mkdir /var/log/nginx//启动nginx
nginx

4)配置并启动 template

unzip consul-template_0.19.3_linux_amd64.zip -d /data/
cd /data/
mv consul-template /usr/local/bin///在前台启动 template 服务,启动后不要按 ctrl+c 中止 consul-template 进程。
consul-template --consul-addr 192.168.3.100:8500 \
--template "/data/consul/nginx.ctmpl:/usr/local/nginx/conf/vhost/heitui.conf:/usr/local/nginx/sbin/nginx -s reload" \
--log-level=info

vim /usr/local/nginx/conf/vhost/heitui.conf#下面是自动生成的配置文件内容
upstream http_backend {server 192.168.3.101:83;server 192.168.3.101:84;}
server {listen 8000;server_name localhost 192.168.3.100;access_log /var/log/nginx/kgc.com-access.log;       #修改日志路径index index.html index.php;location / {proxy_set_header HOST $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header Client-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://http_backend;}
}

5)访问 template-nginx

docker ps -adocker exec -it c9cf7a3f9e25 bash
echo "this is test1 web" > /usr/share/nginx/html/index.htmldocker exec -it 4ba02020f69f bash
echo "this is test2 web" > /usr/share/nginx/html/index.html浏览器访问:http://192.168.3.100:8000/ ,并不断刷新。

不断刷新,会轮流出现如下页面 

6)增加一个 nginx 容器节点

docker run -itd -p:85:80 --name test-05 -h test05 nginx#查看/usr/local/nginx/conf/vhost/heitui.conf 文件内容
cat /usr/local/nginx/conf/vhost/heitui.conf

#查看三台 nginx 容器日志,请求正常轮询到各个容器节点上
docker logs -f test-01
docker logs -f test-02
docker logs -f test-05

consul总结

1、consul  实现 服务自动发现和注册 的一种工具

2、consul 的模式

  • client模式:可用于接收后端服务发来的注册信息,并转发给server节点,没有持久化能力
  • server模式:可用于接收后端服务/client模式的节点发来的注册信息,还可在server节点之间同步注册信息,具有持久化注册信息到本地的能力
  • server-leader节点:负责同步注册信息给其它的server节点,并对各个节点做健康检查

Docker安全

1、尽量别做的事

  • 尽量不用 --privileged 运行容器(授权容器root用户用户宿主机的root权限)
  • 尽量不用 --network host 运行容器(使用host网络模式共享宿主机的网络命名空间)
  • 尽量不在容器中运行 ssh 服务
  • 尽量不把宿主机系统的关键敏感挂载到容器中

2、尽量要做的事

  • 尽量使用最小化的镜像
  • 尽量以单一进程运行容器
  • 尽量在容器中使用最新版本的应用
  • 尽量安装最新版本的docker
  • 尽量以最低权限运行容器
  • 尽量使用官方的镜像或自己构建镜像
  • 尽量给容器分配独立的文件系统
  • 尽量以资源限制的方式运行容器 -m   --cpu-quota   --cpuset-cpus   --device-write-bps
  • 尽量以只读的方式挂载数据卷(持久化容器数据到宿主机时除外) -v 宿主机目录:容器目录:ro 
  • 尽量设置容器重启次数 --restart on-failure:N

3、DockerClient 端与 DockerDaemon 的通信安全

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,c/s 两端应该通过 TLS 加密方式通讯,即使用https安全的超文本传输协议

通过在服务端上创建tls密钥证书,再下发给客户端,客户端通过私钥访问容器,这样就保证的docker通讯的安全性。

http     超文本传输协议                 tcp/80       明文传输
https    安全的超文本传输协议           tcp/443      密文传输    证书加密(ssl/tls加密)

使用证书访问的工作流程

1)服务端会事先通过 CA 签发服务器端证书和私钥
2)客户端发起 https 请求到服务端的 443 端口
3)服务器会先返回一个包含公钥、证书有效期、CA机构等信息的证书给客户端
4)客户端会先用本地CA的证书验证服务端证书的有效性,如果证书有效,则会在客户端随机生成一个会话密钥并通过服务端发来的公钥加密后,再发给服务端
5)服务端会用私钥解密获取客户端发来的会话密钥,之后双方即可通过会话密码加密/解密来实现密文通信

4、使用OpenSSL创建自签名证书的步骤

1)创建CA私钥和证书

openssl genrsa -out ca.key 2048                                  #创建 CA 私钥文件
openssl req -new -x509 -days 3650 -key ca.key -out ca.pem        #创建 CA 证书文件genrsa:使用RSA算法产生私钥
-out:输出文件的路径,若未指定输出文件,则为标准输出
2048:指定私钥长度,默认为1024。该项必须为命令行的最后一项参数
req:执行证书签发命令
-new:新证书签发请求
-x509:生成x509格式证书,专用于创建私有CA时使用
-days:证书的有效时长,单位是天
-key:指定私钥路径
-sha256:证书摘要采用sha256算法
-subj:证书相关的用户信息(subject的缩写)
-out:输出文件的路径

2)创建服务端证书自签名请求文件

openssl genrsa -out server.key 2048                     #创建服务端私钥文件
openssl req -new -key server.key -out server.csr        #创建服务端证书自签名请求文件

3)基于 CA私钥、证书 和 服务端证书自签名请求文件 签发服务端证书

openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out server.pem      #创建服务端证书文件

yum -y install gcc pcre-devel openssl-devel zlib-devel openssl  openssl-devel

#使用https,需要安装的依赖环境

./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module --with-http_v2_module --with-http_realip_module --with-http_stub_status_module --with-http_gzip_static_module --with-pcre --with-stream --with-stream_ssl_module --with-stream_realip_module

#这是我编译安装的nginx命令

我们使用自签名证书可以实现通过https访问harbor私有仓库

实现通过https访问harbor私有仓库仅需要在harbor的配置文件中,如下图修改即可

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/151241.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

有线网卡通过无线网卡使其它设备上网

我现在的网络是无线路由器连接公网,电脑上的无线网卡连接路由器使电脑上网,这是完全正常的连接方式。 我现在又有了一台嵌入式设备,它只有有线网口,所以就只能用有线的方式连网,但是我的无线路由器不在电脑旁边&#x…

力扣在线OJ——栈和队列

目录 🍁一、用两个队列实现栈 🌕(一)、题目(力扣链接:用队列实现栈 ) 🌕(二)、注意 🌕(三)、解答 ⭐️1.注意事项 ⭐…

社区迭代|ETLCloud社区新增“论坛”啦!

ETLCloud社区是谷云科技RestCloud旗下面向开发工程师、集成研发人员等技术人员提供全方位交流和学习的开放式平台,也是ETLCloud在产品生态赋能上的一大亮点,旨在能够帮助更多的用户更快捷高效的掌握技能,也为企业提供集成人才培养赋能&#x…

TensorFlow学习:使用官方模型和自己的训练数据进行图片分类

前言 教程来源:清华大佬重讲机器视觉!TensorFlowOpencv:深度学习机器视觉图像处理实战教程,物体检测/缺陷检测/图像识别 注: 这个教程与官网教程有些区别,教程里的api比较旧,核心思想是没有变…

使用一个Series序列减去另一个Series序列Series.subtract()

【小白从小学Python、C、Java】 【计算机等考500强证书考研】 【Python-数据分析】 求两个序列中对应位置 的各元素的差 a.subtract(b) [太阳]选择题 关于以下代码的说法中正确的是? import pandas as pd a pd.Series([1,2,3]) print("【显示】a:\n",a) b pd.Seri…

windows qemu安装飞腾Aarch64 操作系统 亲测

在win7(X86架构CPU)下使用QEMU虚拟机运行银河麒麟操作系统(ARM架构CPU) 1、下载并安装QEMU虚拟机软件 https://qemu.weilnetz.de/w64/2020/ 2、准备好ARM银河麒麟操作系统.iso文件 这里是 Kylin-Desktop-V10-Release-2107-ar…

Kafka入门05——基础知识

目录 副本数据同步原理 HW和LEO的更新流程 第一种情况 第二种情况 数据丢失的情况 解决方案 Leader副本的选举过程 日志清除策略和压缩策略 日志清除策略 日志压缩策略 Kafka存储手段 零拷贝(Zero-Copy) 页缓存(Page Cache&…

服务运营 |文章精选:运筹学视角下的众包竞赛

作者: Guo 编者按:众包竞赛(Crowdsourcing Contests)是一种利用大规模在线社群或平台来解决问题、完成任务或创新的方法。众包竞赛通常在在线平台上进行,这些平台提供任务发布、参与者注册、提交作品、评审等功能。一…

Linux常用命令——chpasswd命令

在线Linux命令查询工具 chpasswd 批量更新用户口令的工具 补充说明 chpasswd命令是批量更新用户口令的工具,是把一个文件内容重新定向添加到/etc/shadow中。 语法 chpasswd(选项)选项 -e:输入的密码是加密后的密文; -h:显示…

知识图谱相关的操作

微软生成自己的图谱:GitHub - microsoft/SmartKG: This project accepts excel files as input which contains the description of a Knowledge Graph (Vertexes and Edges) and convert it into an in-memory Graph Store. This project implements APIs to searc…

Linux shell编程学习笔记16:bash中的关联数组

上一节我们探讨了普通的数组,即使用数字下标来索引数组中不同的元素的数组,也可以称之为索引数组。 相比纯粹的数字,字符串不仅能表明含义,也更便于记忆使用,于是就有了关联数组。 一、关联数组概述 bash 从4.0开始支…

LabVIEW开发基于图像处理的车牌检测系统

LabVIEW开发基于图像处理的车牌检测系统 自动车牌识别的一般步骤是图像采集、去除噪声的预处理、车牌定位、字符分割和字符识别。结果主要取决于所采集图像的质量。在不同照明条件下获得的图像具有不同的结果。在要使用的预处理技术中,必须将彩色图像转换为灰度&am…