日更第28日: 容器安全之Docker守护进程配置TLS身份认证

可以让 Docker 守护进程监听特定的 IP 和端口以及除默认 Unix 套接字以外的任何其他 Unix 套接字。

配置 TLS 身份验证以限制通过 IP 和端口访陆塌信问 Docker 守护进程。

默认情况下， Docker 守护程序绑定到非联网的 Unix 套接字，并以 root 权限运行。

如果将默认的 Docker 守护程序更改为绑定到 TCP 端口或任何其他 Unix 套接字，那么任何有权访问该端口或套接字的人都可以完全访问 Docker 守护程序，进而可以访问衫大主机系统。

因此，不应该将 Docker 守护程序绑定到另一个 IP /端口或 Unix 套接字。

如果必须通过网络套接字暴露 Docker 守护程序，请为守护程序配置 TLS 身份验证

生产环境下避免开启 tcp 监听，若避免不了，执行以下 *** 作。

192.168.235.128 为当前主机 IP 地址

停服务

编辑配早轮置文件

替换 ExecStart=/usr/bin/dockerd 为以下

重启

默认情肆枯况下，当 Docker 守护进程终止时，它将关闭正在运行的容器。您可以配置守护程裂森洞序，以便容器在守护程序不可用时保持运行。此功能称为live-restore。live-restore选项有助于减少由于守护进程崩溃、计划中断或升级而导致的容器停机时间。

在工作中，假如修改了docker的配置而需要重新加载docker守护进程，导致docker容器重启，业务会中断一会，尤其是在生产环境，存在一定的风险。这种情况下，可以启用live-restore功能，以在守春纯护进程不可用时使容器保持活动状态，有以下两种方法设置。

一、

将配置添加到守护进程配置，即docker-daemon.json，如下

二、

手动启用该过程

docker官方文档建议使用第一种方式

使用本机 Docker 授权插件或第三方授权机制与 Docker 守护程序来管理对 Docker 客户端命令的访问。

Docker 默认是没有对客户端命令进行授权管理的功能。

任何有权访问 Docker 守护程序的用户都可以运行任何 Docker 客户端命令。

对于使用虚简 Docker 远程 API 来调用守护进程的调用者也是如此。

如果需要细粒度的访问控制，可以使用授权插件并将其添加到 Docker 守护程序配置中。

使用授权插件， Docker 管差首裤理员可以配置更细粒度访问策略来管理对 Docker 守护进程的访问。

Docker 的第三方集成可以实现他们自己的授权模型，以要求 Docker 的本地授权插件

（即 Kubernetes ， Cloud Foundry ， Openshift ）之外的 Docker 守护进程的授权。

如果使用 Docker 本地授权，可使用 --authorization-plugin 参数加载授权插件芹碰。

如无特殊需求，默认值即可

---