我有兩個相關的泊塢窗容器通信和安全的問題。加密和相互驗證?
我已經看到,容器到容器通信可以通過加密通過啓用安全標誌被固定。
然後,在容器中有沒有類似於SSL相互認證的特性?如說,只有通過特定的CA簽署可以互相交談的證書容器?
或任何其他限制的機制甚至當它們是同一個覆蓋網絡的一部分時,哪些容器可以與哪些容器通信?
感謝
沙比爾
是此功能可以通過 搬運工運行催生的默認(或定製)任何獨立的容器橋接口?
它不適用於橋樑和獨立的容器。
或者它是否僅在羣集模式下在同一覆蓋網絡中的 容器中可用?
是的,這是正確的。但是加密是在不同主機上的容器之間。同一主機和同一覆蓋層上的容器通信未加密。
然後,是否有類似的功能,SSL容器之間的相互 認證?正如在說,只有容器與 由特定的CA簽署的證書可以相互交談?
此功能可以在應用程序級別實現,而不是在平臺級別提供此功能的Docker。 Docker不提供類似的功能。
或者任何其他機制來限制哪些容器可以與哪個容器交談哪些容器,即使它們是同一覆蓋網絡的一部分?
我認爲上面提出的機制對於限制訪問是完全合理的。
參考:https://docs.docker.com/engine/userguide/networking/overlay-security-model/
您確定「不支持同一主機中的容器之間的加密」嗎?碼頭文件沒有明確說明這一點。它表示IPSec隧道是在覆蓋網絡中的節點之間創建的。這是否意味着通過覆蓋網絡進行通信的所有容器(無論是相同的主機還是交叉主機)都將具有加密通道? – Shabirmean
從參考鏈接:「您也可以加密在覆蓋網絡上的*不同*節點上的容器之間交換的數據」 –
這是否否定相同主機容器通信被加密的可能性?我認爲,因爲覆蓋網絡跨越多個節點並且加密針對覆蓋網絡而不是連接主機節點的網絡 - 所有加密都是加密的。但不確定。 – Shabirmean