W poprzednim wpisie został uruchomiony oraz wstępnie przygotowany Docker Swarm. W tym wpisie pokaże w jaki sposób ochronić klaster przed niepowołanym dostępem do danych.
Docker Swarm autolock Nieco teorii…
Po uruchomieniu Docker Swarm z opcją autolock wymiana informacji w klastrze jest szyfrowana przy pomocy klucza TLS. Po restarcie manager’a konieczne jest podanie klucza, który odblokuje jego działanie. Taki klucz oczywiście można zmienić, jednak ważne jest, aby propagacja jego nowej wersji odbyła się na wszystkie hosty, które pełnią rolę manager’a.
Konfiguracja autolock
Autolock możesz włączyć od razu przy konfiguracji Docker Swarm.
|
1 |
docker swarm init --autolock |
W odpowiedzi wygenerowany zostanie polecenie, którym będzie można dodać worker’a do klastra oraz co ważne i to należy w bezpiecznym miejscu zapisać, czyli klucz odblokowujący Docker Swarm.
Jeżeli teraz dokonasz restartu usługi docker, pojawi się błąd, ponieważ na początku musisz odblokować docker swarm
|
1 |
sudo systemctl restart docker |
|
1 2 |
docker node ls Error response from daemon: Swarm is encrypted and needs to be unlocked before it can be used. Use "docker swarm unlock" to unlock it. |
Aktualizacja Docker Swarm o autolock
Jeżeli Docker Swarm już działa, możesz uruchomić opcji autolock, aby zabezpieczyć działanie klastra.
|
1 |
docker swarm update --autolock=true |
W odpowiedzi wygenerowany zostanie unikalny klucz, który pozwoli na odblokowanie klastra.
Jeżeli chcesz wyłączyć zabezpieczenie kluczem TLS klaster, musisz użyć powyższego polecenia z wartością false.
|
1 |
docker swarm update --autolock=false |
Wpisanie klucza odblokowującego klaster.
W celu odblokowania klastra użyj poniższego polecenia.
|
1 |
docker swarm unlock |
Pojawi się informacja o wpisanie klucza.
|
1 |
Please enter unlock key: |
Brak klucza do odblokowania
Co w przypadku gdy brakuje klucza? Wyjścia są dwa. Pierwsze, cały klaster do wyrzucenia, ale jeżeli klaster działa możesz pokazać klucz.
|
1 |
docker swarm unlock-key |
Powyższe polecenie pokaże właściwy klucz do odblokowania klastra. Zapisz ten klucz.
Wygenerowanie nowego klucza
Dokumentacja Docker’a wskazuje jako dobrą praktykę, aby zmieniać klucz odblokowujący klaster w regularnych odstępach czasu. Krótko mówiąc zmieniaj hasła regularnie na inne tak jak robisz to dla konta w banku czy konta użytkownika komputera.
|
1 |
docker swarm unlock-key --rotate |
To tyle jeżeli chodzi o zabezpieczenie Docker Swarm. Zapraszam na kolejny wpis dotyczący Docker’a a dokładniej wstęp do usług .
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
