1. Toy模板网首页
  2. > Toy博客

【k8s】--insecure-registry详解 ( 访问仓库、https、http)

10月前 作者:云川之下 分类:Toy博客 阅读(43) 违法举报

这篇具有很好参考价值的文章主要介绍了【k8s】--insecure-registry详解 ( 访问仓库、https、http)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、–insecure-registry是什么

--insecure-registry是docker中用来设置与docker registry通信的安全限制的一个参数,如果设置为true或1,意味着Docker将会在与这个registry通信时跨过证书问题,不再验证registry的TLS认证证书,可以忽略证书错误,从而绕过Docker安全机制。

这个描述很奇怪,一般由服务端决定以什么方式访问,https是服务器端开启的,客户端必须按照Https访问。应该docker服务器端同时开启了https、http,然后客户端默认禁用http,而--insecure-registry 是client参数,允许本地开启http访问

这个参数的使用主要是为了方便在开发过程中迅速测试镜像,或者当运行docker的主机不具备安全加密能力的时候,可以选择打开这个开关。

在正式的生产环境中,一般情况下禁用这个选项,因为这个选项的打开为我们的系统带来很大的安全隐患。

二、如何使用–insecure-registry

使用--insecure-registry,我们可以在运行docker命令时添加这个参数。

docker run --rm --insecure-registry registry.local:5000 busybox

在上面的命令中,我们通过--insecure-registry参数指定了registry的地址为registry.local:5000,这意味着docker将会忽略registry.local:5000的SSL证书认证。

上述格式在新版本中可能已经不支持,通过docker run --help,未看到上述参数

在Docker 1.13.1及之后的新版本中,可以使用以下的方式来配置 --insecure-registry 的默认值:

{
  "insecure-registries" : ["registry.local:5000"]
}

这个配置文件需要保存为 /etc/docker/daemon.json

需要注意的是,在Windows操作系统中,这个配置文件需要在C:\ProgramData\Docker\config目录下创建。

配置完后记得使用 service docker restart 重启docker服务

上述方法只能对单个服务器生效,如果想对所有的生效,可以使用 ”insecure-registries“ : [ “0.0.0.0/0“ ]

三、–insecure-registry的安全风险

虽然使用--insecure-registry参数可以帮助我们快速测试镜像,但是打开这个选项也带来了很大的安全风险。

当我们忽略SSL证书时,意味着所有与该registry通信的数据都是明文传输,容易受到中间人攻击。黑客可以通过在通信过程中截取传输的数据,来获取敏感信息或者篡改数据。

同时,如果registry服务器本身被黑客攻击,会助长黑客利用中间人攻击的可能性,可以通过域名欺骗等方式进行攻击。

四、–insecure-registry的替代方案

如果我们有必要经常使用–insecure-registry,可以选择使用内部CA证书,将证书写入docker TLS认证证书池中,实现相对的安全性。这个过程需要创建自签名证书来为docker registry签名。

下面是一个创建自签名证书的例子:

openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out csr.pem
openssl x509 -req -in csr.pem -signkey key.pem -out cert.crt

执行完上面的命令,会生成三个文件:key.pem、csr.pem、cert.crt,其中cert.crt就是我们创建的自签名证书。我们将cert.crt拷贝到所有需要访问registry的docker客户端主机上,然后重新启动docker服务。

当我们在运行docker命令时,可以使用–tlsverify参数打开docker TLS验证。我们可以将上面生成的key.pem,csr.pem,cert.crt放在服务器的某个目录中,然后使用以下命令启动docker:

docker --tlsverify --tlscacert=/path/to/ca.pem --tlscert=/path/to/cert.pem --tlskey=/path/to/key.pem -H=127.0.0.1:5555 version

通过使用–tlsverify参数,在与registry通信时,Docker将会验证认证证书的有效性,实现了更高的安全性。

五、总结

–insecure-registry是Docker中用来临时绕过TLS认证证书认证的参数,可以在开发、测试过程中节省时间和精力。但是在生产环境中,为了保证系统的安全性,我们需要关闭这个参数。

如果确实有必要经常使用这个参数,我们可以选择使用内部CA证书来实现相对的安全性。

在使用–insecure-registry时,我们需要时刻注意安全风险,并采取相应的防范措施。

参考

–insecure-registry详解文章来源地址https://www.toymoban.com/news/detail-763881.html

到了这里,关于【k8s】--insecure-registry详解 ( 访问仓库、https、http)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • kubeadm init [ERROR ImagePull]: failed to pull image registry.k8s.io 解决方法

    kubeadm init [ERROR ImagePull]: failed to pull image registry.k8s.io 解决方法

    ** https://blog.itwk.cc 由于国内网络原因,kubeadm init部署集群会卡住不动,,报错如下: error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR ImagePull]: failed to pull image registry.k8s.io/kube-apiserver:v1.25.6: output: E0124 00:28:25.369652 3299 remote_image.go:171] “PullImage from image service failed”

    2024年02月11日
    浏览(51)
  • K8S-应用访问

    K8S-应用访问

    1 service对象定位 2 Service 实践 手工创建Service yaml方式创建Service 3 外部Service 部署外部mysql环境 定制资源清单文件

    2024年02月02日
    浏览(39)
  • 【云原生 • Kubernetes】认识 k8s 网络、外部网络访问 k8s 内部服务

    【云原生 • Kubernetes】认识 k8s 网络、外部网络访问 k8s 内部服务

    目录 一、认识 Kubernetes 网络 二、外部网络如何访问 k8s 内部服务 1. NodePort 2. Load Balancer 3. Ingress Kubernetes 最底层的网络为节点网络,用来保证 k8s 集群的节点(master 和 worker、worker 节点之间)能够做正常的 IP 寻址和通讯。 Kubernetes 第二层网络就是 Pod 网络,构建于节点网络之上

    2024年01月16日
    浏览(72)
  • k8s中部署nginx-ingress实现外部访问k8s集群内部服务

    k8s中部署nginx-ingress实现外部访问k8s集群内部服务

    k8s通过nginx-ingress实现集群外网访问功能 1.1 ingress 工作原理 step1:ingress contronler通过与k8s的api进行交互,动态的去感知k8s集群中ingress服务规则的变化,然后读取它,并按照定义的ingress规则,转发到k8s集群中对应的service。 step2:而这个ingress规则写明了哪个域名对应k8s集群中的

    2024年02月07日
    浏览(40)

  • K8S 跨 namespace 访问服务

    在K8S中,同一个命名空间(namespace)下的服务之间调用,之间通过服务名(service name)调用即可。不过在更多时候,我们可能会将一些服务单独隔离在一个命名空间中(比如我们将中间件服务统一放在 middleware 命名空间中,将业务服务放在 business 命名空间中)。 遇到这种情

    2024年02月14日
    浏览(34)
  • k8s之API接口访问

    k8s之API接口访问

    1.1 API是什么? API(Application Programming Interface,应用程序接口): 是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。 用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无需访问源码,或理解内部工作机制的细节。

    2024年02月06日
    浏览(61)
  • k8s如何访问 pod 元数据

    k8s如何访问 pod 元数据

    **我们在 pod 中运行容器的时候,是否也会有想要获取当前 pod 的环境信息呢?**咱们写的 yaml 清单写的很简单,实际上部署之后, k8s 会给我们补充在 yaml 清单中没有写的字段,那么我们的 pod 环境信息和容器的元数据如何传递到容器中呢?是不是也是通过获取这些 k8s 默认给

    2024年02月16日
    浏览(50)
  • K8S集群实现外部访问(INGRESS)

    K8S集群实现外部访问(INGRESS)

    环境: master node01 node02 192.168.1.40 192.168.1.41 192.168.1.42 作用:Ingress 是对集群中服务的外部访问进行管理的 API 对象。 PS:创建nginx和httpd PS:namespace为ingress-nginx PS:它现在已经有一个模板,用来描述Ingress资源能够收集到的信息了 PS:有DNS的话可以设置解析,没有的话必须在h

    2024年01月19日
    浏览(46)
  • k8s的dashboard无法正常访问

    k8s的dashboard无法正常访问

    本场景为使用google浏览器访问vmware搭建的虚拟机 建议使用google浏览器的无痕模式 网页提示信息Client sent an HTTP request to an HTTPS server. 原因: 因为直接使用ip:端口的方式是自动选择http协议 解决方法: 需要加上https,指定用https进行访问 https://ip:端口 如果还是无法访问提示此报

    2024年02月14日
    浏览(41)

  • k8s部署nginx访问Tomcat

    #测试 curl http://192.168.1:30086/tomcat/

    2024年02月14日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包