【k8s】--insecure-registry详解 ( 访问仓库、https、http)

云川之下2023-12-21 6:51

文章目录

一、--insecure-registry是什么

--insecure-registry是docker中用来设置与docker registry通信的安全限制的一个参数,如果设置为true或1,意味着Docker将会在与这个registry通信时跨过证书问题,不再验证registry的TLS认证证书,可以忽略证书错误,从而绕过Docker安全机制。

这个描述很奇怪,https一般是服务器端开启的,客户端必须按照Https访问。除非docker服务器端同时开启了https、http,然后客户端默认禁用http,而--insecure-registry 允许本地开启http

这个参数的使用主要是为了方便在开发过程中迅速测试镜像,或者当运行docker的主机不具备安全加密能力的时候,可以选择打开这个开关。

在正式的生产环境中,一般情况下禁用这个选项,因为这个选项的打开为我们的系统带来很大的安全隐患。

二、如何使用--insecure-registry

使用--insecure-registry,我们可以在运行docker命令时添加这个参数。

bash 复制代码 
docker run --rm --insecure-registry registry.local:5000 busybox

在上面的命令中,我们通过--insecure-registry参数指定了registry的地址为registry.local:5000,这意味着docker将会忽略registry.local:5000的SSL证书认证。

在Docker 1.13.1及之后的版本中,可以使用以下的方式来配置--insecure-registry的默认值:

bash 复制代码 
{
  "insecure-registries" : ["registry.local:5000"]
}

这个配置文件需要保存为 /etc/docker/daemon.json

需要注意的是,在Windows操作系统中,这个配置文件需要在C:\ProgramData\Docker\config目录下创建。

记得使用 service docker restart 重启docker服务

上述方法只能对单个服务器生效,如果想对所有的生效,可以使用 "insecure-registries" : [ "0.0.0.0/0" ]

三、--insecure-registry的安全风险

虽然使用--insecure-registry参数可以帮助我们快速测试镜像,但是打开这个选项也带来了很大的安全风险。

当我们忽略SSL证书时,意味着所有与该registry通信的数据都是明文传输,容易受到中间人攻击。黑客可以通过在通信过程中截取传输的数据,来获取敏感信息或者篡改数据。

同时,如果registry服务器本身被黑客攻击,会助长黑客利用中间人攻击的可能性,可以通过域名欺骗等方式进行攻击。

四、--insecure-registry的替代方案

如果我们有必要经常使用--insecure-registry,可以选择使用内部CA证书,将证书写入docker TLS认证证书池中,实现相对的安全性。这个过程需要创建自签名证书来为docker registry签名。

下面是一个创建自签名证书的例子:

bash 复制代码 
openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out csr.pem
openssl x509 -req -in csr.pem -signkey key.pem -out cert.crt

执行完上面的命令,会生成三个文件:key.pem、csr.pem、cert.crt,其中cert.crt就是我们创建的自签名证书。我们将cert.crt拷贝到所有需要访问registry的docker客户端主机上,然后重新启动docker服务。

当我们在运行docker命令时,可以使用--tlsverify参数打开docker TLS验证。我们可以将上面生成的key.pem,csr.pem,cert.crt放在服务器的某个目录中,然后使用以下命令启动docker:

bash 复制代码 
docker --tlsverify --tlscacert=/path/to/ca.pem --tlscert=/path/to/cert.pem --tlskey=/path/to/key.pem -H=127.0.0.1:5555 version

通过使用--tlsverify参数,在与registry通信时,Docker将会验证认证证书的有效性,实现了更高的安全性。

五、总结

--insecure-registry是Docker中用来临时绕过TLS认证证书认证的参数,可以在开发、测试过程中节省时间和精力。但是在生产环境中,为了保证系统的安全性,我们需要关闭这个参数。

如果确实有必要经常使用这个参数,我们可以选择使用内部CA证书来实现相对的安全性。

在使用--insecure-registry时,我们需要时刻注意安全风险,并采取相应的防范措施。

参考

--insecure-registry详解

相关推荐
Linux运维老纪2 小时前
DNS缓存详解(DNS Cache Detailed Explanation)
计算机网络·缓存·云原生·容器·kubernetes·云计算·运维开发
esmember3 小时前
电路研究9.2.6——合宙Air780EP中HTTP——HTTP GET 相关命令使用方法研究
网络·网络协议·http·at指令
霸王蟹10 小时前
http和https的区别?
网络·笔记·网络协议·学习·http·https
精通HelloWorld!10 小时前
使用HttpClient和HttpRequest发送HTTP请求
java·spring boot·网络协议·spring·http
元气满满的热码式10 小时前
K8S部署DevOps自动化运维平台
运维·kubernetes·devops
泪不是Web妳而流11 小时前
BurpSuite抓包与HTTP基础
网络·经验分享·网络协议·安全·http·网络安全·学习方法
zhuyasen11 小时前
多维度详细比较 kratos、go-zero、goframe、sponge 框架
后端·http·微服务·rpc·golang
ybq1951334543113 小时前
javaEE-6.网络原理-http
网络·网络协议·http
我的青春不太冷14 小时前
《深入理解HTTP交互与数据监控:完整流程与优化实践》
网络·经验分享·科技·网络协议·学习·http·架构
IT艺术家-rookie15 小时前
k8s--部署k8s集群--控制平面节点
容器·kubernetes
热门推荐
01DeepSeek r1本地安装全指南02【deepseek】deepseek-r1本地部署-第一步:下载LM Studio03将DeepSeek接入Word,打造AI办公助手04使用Ollama 在Ubuntu运行deepseek大模型:以DeepSeek-coder为例05新鲜速递:DeepSeek-R1开源大模型本地部署实战—Ollama + MaxKB 搭建RAG检索增强生成应用06Dell服务器升级ubuntu 22.04失败解决07DeepSeek学术写作测评第一弹:论文润色,中译英效果如何?08如何解压7z文件?8种方法(Win/Mac/手机/网页端)09半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)10DeepSeek 云端部署,释放无限 AI 潜力!