Docker容器的encryption和相互authentication?
我有两个与Docker容器通信和安全相关的问题。
我已经看到,通过启用安全标志,可以通过encryption来保护容器到容器的通信。
- 此function是否可用于通过默认(或定制)桥接器上的docker运行产生的任何独立容器?
- 或者,它只能在群集模式中的相同覆盖networking的容器中使用?
那么,在容器中有没有类似于SSL相互authentication的特性呢? 就像在说,只有具有由特定CA签名的证书的容器可以相互交谈?
还是其他任何机制来限制哪些容器可以与哪些容器交谈,即使它们是同一个覆盖networking的一部分?
谢谢
沙比尔
此function是否可用于通过默认(或定制)桥接器上的docker运行产生的任何独立容器?
它不适用于桥梁和独立的容器。
或者,它只能在群集模式中的相同覆盖networking的容器中使用?
对,那是正确的。 但是encryption是在不同主机上的容器之间。 同一主机和同一覆盖层上的容器通信未encryption。
那么,在容器中有没有类似于SSL相互authentication的特性呢? 就像在说,只有具有由特定CA签名的证书的容器可以相互交谈?
这个function可以在应用程序级别上实现,而不是在平台级别提供此function的Docker。 Docker不提供类似的function。
还是其他任何机制来限制哪些容器可以与哪些容器交谈,即使它们是同一个覆盖networking的一部分?
我认为上面提出的机制对于限制访问是完全合理的。
参考: https : //docs.docker.com/engine/userguide/networking/overlay-security-model/