主頁 > 區塊鏈 > docker資源分配 Cgroup和安全通信 TLS

docker資源分配 Cgroup和安全通信 TLS

2020-09-28 23:11:57 區塊鏈

1:docker資源分配 Cgroup [CPU 記憶體 I/O(單位時間內的吞吐量 單位時間內的讀寫速度)]

為什么要做資源分配 ?

容器----虛擬機 區別
虛擬機在創建的時候已經做了資源分配,(虛擬CPU,虛擬記憶體,虛擬磁盤等)

容器是共享內核資源的,不做Cgroup會存在重大安全隱患(面試時,參照:往年的監控資料情況,進行資源分配)

資源分配

Cgroup資源配置方法

docker通過Cgroup來控制容器是使用的資源配額,包括CPU、記憶體、磁盤三大方面,基本覆寫了常見的資源配額和使用量控制
Control Group的縮寫,是Linux內核提供的一種可以限制、記錄、隔離行程組所使用的物理資源(如CPU、記憶體、磁盤IO等)的機制,被LXC、docker等很多專案用于實作行程資源控制,Cgroup子系統,有以下幾大子系統實作:

子系統:

	blkio:設定西限制每個塊設備的輸入輸出控制,例如:磁盤、光碟以及USB等,
	CPU:使用調度程式為cgroup任務提供CPU的訪問,
	cpuacct:產生cgroup任務的CPU資源報告,
	cpuset:如果是多核心的CPU,這個子系統會為cgroup任務分配單獨的CPU和記憶體,
	devices:允許或拒絕cgroup任務對設備的訪問,
	freezer:暫停和恢復cgroup任務,
	memory:設定每個cgroup的記憶體限制以及產生記憶體資源報告,
	net_cls:標記每個網路包以提供cgroup方便使用,
	ns:命名子空間系統
	perf_event:增加了對每個group的監測跟蹤的能力,可以監測驗于某個特定的group的所有執行緒以及運行在特定CPU上的執行緒,

利用stress壓力測驗工具來測驗CPU和記憶體使用狀況

清空防火墻規則、關閉核心防護
[root@localhost ~]# systemctl restart docker
[root@localhost ~]# iptables -F
[root@localhost ~]# setenforce 0

使用Dockerfile來創建一個基于Centos的stress工具鏡像
[root@localhost ~]# mkdir /opt/stress
[root@localhost ~]# vim /opt/stress/Dockerfile
FROM centos:7
MAINTAINER 
RUN yum install -y wget
RUN wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
RUN yum install -y stress

[root@client ~]# cd /opt/stress
[root@client stress]# docker build -t centos:stress .

[root@client stress]# docker images
REPOSITORY             TAG                 IMAGE ID            CREATED             SIZE
centos                 stress              5a77e23ca0d6        12 seconds ago      426MB
···
使用如下命令創建容器,命令中的--cpu-shares引數值不能保證可以獲得1個vcpu或者多個GHz的CPU資源,他僅是一個彈性的加權值,
docker run -itd --cpu-shares 100 centos:stress

說明:默認情況下,每個Docker容器的CPU份額都是1024,單獨一個容器的份額是沒有意義的,只有在同時運行多個容器時,容器的CPU加權的效果才能體現,
Cgroup只在容器分配的資源緊缺時,即在需要使用資源進行限制時,才會生效,因此無法單純根據某個容器的CPU份額來確定有多少CPU資源,CPU資源分配,結果取決于同時運行的其他容器的CPU分配和容器中行程運行情況,
可以通過cpu share 設定容器使用CPU的優先級,比如啟動了兩個容器及運行查看CPU使用百分比,
[root@client stress]# docker run -itd --cpu-shares 100 centos:stress//容器產生10個子函式行程

df937d7ab7728a1306833a19444c5d7a7ed1e108859300bc8319f8fd2597b238

[root@client stress]# docker run -itd --name cpu512 --cpu-shares 512 centos:stress stress -c 10
6fa79759df08eba01fc1d23b59c7801409df198e0bff4fa9a84f550734e2b3e8
[root@client stress]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
6fa79759df08        centos:stress       "stress -c 10"      2 seconds ago       Up 1 second                             cpu512
[root@client stress]# docker exec -it 6fa79759df08 bash  //進入容器使用top命令查看CPU使用情況
[root@6fa79759df08 /]# top

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-Q95ja6wl-1601193134575)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1600932465759.png)]

//再開啟一個容器做比較[root@client ~]# docker run -itd --name cpu1024 --cpu-shares 1024 centos:stress stress -c 10
1b23b00909e82576293d325937e28f4386ffa24fa39127ff41d54508470d6766
[root@client ~]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
1b23b00909e8        centos:stress       "stress -c 10"      2 seconds ago       Up 1 second                             cpu1024
6fa79759df08        centos:stress       "stress -c 10"      2 minutes ago       Up 2 minutes                            cpu512

[root@client ~]# docker exec -it 1b23b00909e8 bash

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-espCSapF-1601193134577)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1600932538208.png)]

//進入容器使用top命令對比兩個容器的%CPU比例是1:2

CPU周期限制

Docker提供了 --cpu-period --cpu-quota 兩個引數控制容器可以分配的CPU時鐘周期,
–cpu-period是用來指定容器對CPU的使用要在多長時間內做一次重新分配
–cpu-quota是用來指定在這個周期內,最多可以有多長時間來跑這個容器,(與–cpu-period不同的是,這種配置時指定一個絕對值,容器多CPU資源的使用絕對不會超過配置的值)
cpu-perlod和cpu-quota的單位為微秒(us) . epu-perlod 的最小值為1000微秒,最大值為1秒(10^6μs) ,默認值為0.1秒(100000 μ5)
cpu-quota的值默認為-1,表示不做控制,cpu-period 和cpu-quota引數一般聯合使用,
例如:容器行程需要每1移使用單個CPU的0.2秒時間,可以將cqpu-period設定為100000 (即1秒),cpu-quota設定為20000 (0.2秒) ,
當然,在多核情況下,如果允許容器行程完全占用兩個CPU,則可以將cpu-period設定為100000 (即0.1秒),cpu-quota設定為200000 (0.2

[root@client stress]# docker run -tid --cpu-period 100000 --cpu-quota 200000 centos:stress
5fa301ae0a422ba23fa0cdeeb88760f1b53376479b344fff8549a405e2aadb30
[root@client stress]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS                        PORTS               NAMES
5fa301ae0a42        centos:stress       "/bin/bash"         2 seconds ago       Up Less than a second                             objective_spence

[root@client stress]# docker exec -it 5fa301ae0a42 bash

[root@5fa301ae0a42 /]# cat /sys/fs/cgroup/cpu/cpu.cfs_period_us
100000
[root@5fa301ae0a42 /]# cat /sys/fs/cgroup/cpu/cpu.cfs_quota_us
200000

CPU Core控制

對于多核CPU的服務器,docker還可以控制容器運行使用哪些CPU內核,即使用–cpu-cpus引數
這對具有多CPU的服務器尤其有用,可以對需要高性能計算的容器進行性能最優的配置

執行以下命令需要宿主機為雙核,表示創建的容器只能用0、1兩個內核(CPU0、CPU1),最終生成的cgroup的CPU內核配置如下:[root@localhost stress]# docker run -tid --name cpu1 --cpuset-cpus 0-1 centos:stress
1694023f3400f7366137d2bde7b13b20a457f1a68cb14301be034e3b99fd9da0

[root@localhost stress]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
1694023f3400        centos:stress       "/bin/bash"         25 seconds ago      Up 24 seconds                           cpu1

[root@localhost stress]# docker exec -it 1694023f3400 bash

[root@1694023f3400 /]# cat /sys/fs/cgroup/cpuset/cpuset.cpus
0-1

[root@localhost stress]# docker exec 1694023f3400 taskset -c -p 1
pid 1's current affinity list: 0,1

通過下面指令可以看到容器中行程與CPU內核的系結關系,達到系結CPU內核的目的
docker exec 1694023f3400 taskset -c -p 1  //容器內部第一個行程號皮帶為1被系結到制定CPU上運行

CPU配額控制引數的混合使用

通過cpuset-cpus引數指定容器A使用CPU內核0,容器B只是用CPU內核1.
在主機上只有這兩個容器使用對應CPU內核的情況,它們各自占用全部的內核資源,cpu-shares 沒有明顯效果,
cpuset-cpus、cpuset-mems 引數只在多核、多記憶體節點上的服務器上有效,并且必須與實際的物理配置匹配,否則也無法達到資源控制的目的,
在系統具有多個CPU內核的情況下,需要通過cpuset-cpus引數為設定容器CPU內核才能方便地進行測驗,

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-jshaj0ZU-1601193134579)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1601102669497.png)]


//宿主系統修改為4核心cpu[root@localhost stress]# docker run -tid --name cpu3 --cpuset-cpus 1 --cpu-shares 512 centos:stress stress -c 1
3b139ebde227f86825ca9031702c1356ac18214e896be03966139500a18f5e74

[root@localhost stress]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
3b139ebde227        centos:stress       "stress -c 1"       36 seconds ago      Up 34 seconds                           cpu3

[root@localhost stress]# docker exec -it 3b139ebde227 bash
[root@3b139ebde227 /]# exit 
exit

[root@localhost stress]# top  //按1查看每個核心的占用

top - 14:49:06 up  1:53,  4 users,  load average: 0.97, 0.51, 0.24
Tasks: 244 total,   2 running, 242 sleeping,   0 stopped,   0 zombie%Cpu0  :  0.0 us,  0.0 sy,  0.0 ni,100.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu1  :100.0 us,  0.0 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu2  :  0.0 us,  0.3 sy,  0.0 ni, 99.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu3  :  0.0 us,  0.3 sy,  0.0 ni, 99.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 stKiB Mem :  3861512 total,   571580 free,   935092 used,  2354840 buff/cache
KiB Swap:  4063228 total,  4063228 free,        0 used.  2466740 avail Mem 
   PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                        
 82110 root      20   0    7312    100      0 R 100.0  0.0   3:28.55 stress            

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-7qs8o4us-1601193134581)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1601102909730.png)]

[root@localhost stress]# docker run -tid --name cpu4 --cpuset-cpus 3 --cpu-shares 1024 centos:stress stress -c 1
04cce252457166347af6cb6d9110e6afe531116e783536885e306400fdf7c575

[root@localhost stress]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
04cce2524571        centos:stress       "stress -c 1"       36 seconds ago      Up 35 seconds                           cpu4

[root@localhost stress]# docker exec -it 04cce2524571 bash

[root@localhost stress]# docker exec -it 04cce2524571 bash
[root@04cce2524571 /]# exit
exit

top - 14:58:16 up  2:02,  4 users,  load average: 2.00, 1.61, 0.89
Tasks: 246 total,   3 running, 243 sleeping,   0 stopped,   0 zombie
%Cpu0  :  0.0 us,  0.3 sy,  0.0 ni, 99.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu1  :100.0 us,  0.0 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu2  :  0.0 us,  0.0 sy,  0.0 ni,100.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu3  :100.0 us,  0.0 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem :  3861512 total,   560632 free,   944092 used,  2356788 buff/cache
KiB Swap:  4063228 total,  4063228 free,        0 used.  2456172 avail Mem 

   PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                        
 83053 root      20   0    7312    100      0 R 100.0  0.0   5:48.98 stress                                                         
 82110 root      20   0    7312    100      0 R  99.7  0.0  12:38.53 stress      

?

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-pkPyUdl1-1601193134583)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1601103494949.png)]

總結:上面的centos:stress鏡像安裝了stress工具,用來測驗CPU和記憶體的負載,通過在容器上分別執行stress -c 1命令,將會給系統一個隨機負載,產生一個行程,這個行程反復不停的計算由rand()產生亂數的平方根,直到資源耗盡,
觀察到宿主機上的CPU使用率,第三個內核的使用率接近100%,并且一批行程的 PU使用率明顯存在2:1的使用比例的對比,

記憶體限額

與作業系統類似,容器可使用的記憶體包括兩部分:物理記憶體和Swap.
Docker通過下面兩組引數來控制容器記憶體的使用量,
-m或-memory:設定記憶體的使用限額,例如100M、1024M,
–memory-swap:設定記憶體+ swap的使用限額,

執行如下命令允許該容器最多使用200M的記憶體和300M的swap,

[root@localhost stress]# docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 280M
--vm 1:啟動1個記憶體作業執行緒,
--vm-bytes 280M:每個執行緒分配280M記憶體,
默認情況下,容器可以使用主機上的所有空閑記憶體,
與CPU的cgroups配置類似,Docker 會自動為容器在目錄/sys/fs/cgroup/memory/docker/<容器的完整長ID>中創建相應cgroup組態檔
如果讓作業執行緒分配的記憶體超過300M,分配的記憶體超過限額,stress 執行緒報錯,容器退出,

[root@localhost ~]# docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 310M
stress: info: [1] dispatching hogs: 0 cpu, 0 io, 1 vm, 0 hdd
stress: dbug: [1] using backoff sleep of 3000us
stress: dbug: [1] --> hogvm worker 1 [6] forked
stress: dbug: [6] allocating 325058560 bytes ...
stress: dbug: [6] touching bytes in strides of 4096 bytes ...
stress: FAIL: [1] (416) <-- worker 6 got signal 9
stress: WARN: [1] (418) now reaping child worker processes
stress: FAIL: [1] (422) kill error: No such process
stress: FAIL: [1] (452) failed run completed in 0s

Block IO的限制

默認情況下,所有容器能平等地讀寫磁盤,可以通過設定–block-weight引數來改變容器block IO的優先級,
–block-weight與–cpu-shares類似,設定的是相對權重值,默認為500,

下面的例子中,容器A讀寫磁盤的帶寬是容器B的兩倍

[root@localhost stress]# docker run -it --name container_A --blkio-weight 600 centos:stress 
[root@3b218714f509 /]# cat /sys/fs/cgroup/blkio/blkio.weight
600

[root@localhost stress]# docker run -it --name container_B --blkio-weight 300 centos:stress 
[root@a49df7e2fceb /]# cat /sys/fs/cgroup/blkio/blkio.weight
300

bps和iops的限制

bps是byte per second,每秒讀寫的資料量,
iops是io per second,每秒10的次數,

可通過以下引數控制容器的bps和iops:
– device read-bps,限制讀某個設備的bps,
– device-write-bps,限制寫某個設備的bps,
– device- read-iops,限制讀某個設備的iops,
– device-write-iops,限制寫某個設備的iops,

下面的示例是限制容器寫/dev/sda的速率為5 MB/s,

[root@83a409738e11 /]# dd if=/dev/zero of=test bs=1M count=1024 oflag=direct  //可以按Ctrl+c中斷查看
^C38+0 records in
38+0 records out
39845888 bytes (40 MB) copied, 7.60984 s, 5.2 MB/s

通過dd命令測驗在容器中寫磁盤的速度,因為容器的檔案系統是在host /dev/sda上的,
在容器中寫檔案相當于對host /dev/sda進行寫操作.另外,oflag=direct指定用direct 10方式寫檔案,
這樣--device-write-bps才能生效,
結果表明限速5MB/s左右,作為對比測驗,如果不限速,結果如下,
[root@localhost ~]# docker run -it centos:stress 
[root@61ee9e12f2ed /]# dd if=/dev/zero of=test bs=1M count=1024 oflag=direct
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 0.983062 s, 1.1 GB/s

2:安全通信 TLS 生產環境 (實驗環境用SSL)

Docker-TLS加密通訊

TLS
加密演算法:
原理
1.對稱 DES 3DES AES 長度不同 長度越長安全越高,解密速度越慢
2.非對稱 RSA 公鑰:所有人可知(鎖),私鑰(鑰匙)個人身份資訊,不可抵賴,
3.證書:個人資訊,密鑰,有效期
4.ca:證書頒發機構 ca證書

密鑰key—》身份簽名csr—》(服務器/客戶端)(結合ca.pem)證書pem

證書pem發送給客戶端,客戶端驗證就使用證書驗證

為了防止鏈路劫持、會話劫持等問題導致docker通信時被中間人攻擊,c/s端應該通過加密方式通訊

[root@localhost ~]# mkdir /tls
[root@localhost ~]# cd /tls
[root@localhost tls]# hostnamectl set-hostname master
[root@localhost tls]# vim /etc/hosts

127.0.0.1 master

[root@localhost tls]# su
[root@master tls]# ping master
PING master (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.041 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.048 ms
^C
--- master ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.041/0.044/0.048/0.007 ms

//創建ca密鑰
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096  //輸入123123
Generating RSA private key, 4096 bit long modulus
.....................................++
..........................................................................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

//創建ca證書
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:   //輸入密碼123123
//創建服務器私鑰
[root@master tls]# openssl genrsa -out server-key.pem 4096 Generating RSA private key, 4096 bit long modulus
............................................................................++
..............................................................................................................................................................++
//簽名私鑰
[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
//使用ca證書與私鑰證書簽名,輸入123123
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:
//生成客戶端密鑰
[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.++
...................................++
e is 65537 (0x10001)
//簽名客戶端
[root@master tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
//創建組態檔
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf
//簽名證書,輸入123123,需要(簽名客戶端,ca證書,ca密鑰)
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
//洗掉多余檔案
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr
[root@master tls]# ll
總用量 24
-rw-r--r--. 1 root root 3326 926 16:22 ca-key.pem
-rw-r--r--. 1 root root 1765 926 16:23 ca.pem
-rw-r--r--. 1 root root 1696 926 16:31 cert.pem
-rw-r--r--. 1 root root 3243 926 16:27 key.pem
-rw-r--r--. 1 root root 1647 926 16:23 server-cert.pem
-rw-r--r--. 1 root root 3243 926 16:23 server-key.pem
//配置docker
[root@master tls]# vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.
pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

注釋掉原來的,在下面插入
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-nTg0dhy2-1601193134583)(C:\Users\hu\AppData\Roaming\Typora\typora-user-images\1601109979742.png)]



//重啟行程
[root@master tls]# systemctl daemon-reload
//重啟docker服務
[root@master tls]# systemctl restart docker

//將/tls/ca.pem /tls/cert.pem /tls/key.pem三個檔案復制到另一臺主機
[root@master tls]# scp ca.pem root@192.168.20.20:/etc/docker/
The authenticity of host '192.168.20.20 (192.168.20.20)' can't be established.
ECDSA key fingerprint is SHA256:M+6YSK2hm7e8JY4G1qYmT0X1UmIr280vvpa+1rW8IBc.
ECDSA key fingerprint is MD5:bd:01:e2:85:f0:b0:36:8c:49:64:08:30:6c:2d:a4:37.
Are you sure you want to continue connecting (yes/no)? yes
root@192.168.20.20's password: 
ca.pem                                                 100% 1765   633.0KB/s   00:00    
[root@master tls]# scp cert.pem root@192.168.20.20:/etc/docker/
root@192.168.20.20's password: 
cert.pem                                               100% 1696   396.7KB/s   00:00    
[root@master tls]# scp key.pem root@192.168.20.20:/etc/docker/
root@192.168.20.20's password: 
key.pem                                                100% 3243     1.5MB/s   00:00    

//本地驗證
[root@master tls]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
 Go version:        go1.13.15
 Git commit:        4484c46d9d
 Built:             Wed Sep 16 17:03:45 2020
 OS/Arch:           linux/amd64
 Experimental:      false
The server probably has client authentication (--tlsverify) enabled. Please check your TLS client certification settings: Get https://master:2376/v1.40/version: remote error: tls: bad certificate
[root@master tls]# docker pull nginx

//client上操作
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# vim /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.20.10 master

[root@client ~]# ll /etc/docker/
總用量 20
-rw-r--r--. 1 root root 1765 926 16:47 ca.pem
-rw-r--r--. 1 root root 1696 926 16:47 cert.pem
-rw-r--r--. 1 root root   67 923 22:31 daemon.json
-rw-------. 1 root root  244 923 22:31 key.json
-rw-r--r--. 1 root root 3243 926 16:48 key.pem

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
 Go version:        go1.13.15
 Git commit:        4484c46d9d
 Built:             Wed Sep 16 17:03:45 2020
 OS/Arch:           linux/amd64
 Experimental:      false
key.json
-rw-r--r--. 1 root root 3243 926 16:48 key.pem

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
 Go version:        go1.13.15
 Git commit:        4484c46d9d
 Built:             Wed Sep 16 17:03:45 2020
 OS/Arch:           linux/amd64
 Experimental:      false
The server probably has client authentication (--tlsverify) enabled. Please check your TLS client certification settings: Get https://master:2376/v1.40/version: remote error: tls: bad certificate

轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/135784.html

標籤:區塊鏈

上一篇:聽說阿里中間件Java面試很難?看看大佬整理的經驗吧

下一篇:基于ECS快速搭建 Docker 環境

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • JAVA使用 web3j 進行token轉賬

    最近新學習了下區塊鏈這方面的知識,所學不多,給大家分享下。 # 1. 關于web3j web3j是一個高度模塊化,反應性,型別安全的Java和Android庫,用于與智能合約配合并與以太坊網路上的客戶端(節點)集成。 # 2. 準備作業 jdk版本1.8 引入maven <dependency> < ......

    uj5u.com 2020-09-10 03:03:06 more
  • 以太坊智能合約開發框架Truffle

    前言 部署智能合約有多種方式,命令列的瀏覽器的渠道都有,但往往跟我們程式員的風格不太相符,因為我們習慣了在IDE里寫了代碼然后打包運行看效果。 雖然現在IDE中已經存在了Solidity插件,可以撰寫智能合約,但是部署智能合約卻要另走他路,沒辦法進行一個快捷的部署與測驗。 如果團隊管理的區塊節點多、 ......

    uj5u.com 2020-09-10 03:03:12 more
  • 谷歌二次驗證碼成為區塊鏈專用安全碼,你怎么看?

    前言 谷歌身份驗證器,前些年大家都比較陌生,但隨著國內互聯網安全的加強,它越來越多地出現在大家的視野中。 比較廣泛接觸的人群是國際3A游戲愛好者,游戲盜號現象嚴重+國外賬號安全應用廣泛,這類游戲一般都會要求用戶系結名為“兩步驗證”、“雙重驗證”等,平臺一般都推薦用谷歌身份驗證器。 后來區塊鏈業務風靡 ......

    uj5u.com 2020-09-10 03:03:17 more
  • 密碼學DAY1

    目錄 ##1.1 密碼學基本概念 密碼在我們的生活中有著重要的作用,那么密碼究竟來自何方,為何會產生呢? 密碼學是網路安全、資訊安全、區塊鏈等產品的基礎,常見的非對稱加密、對稱加密、散列函式等,都屬于密碼學范疇。 密碼學有數千年的歷史,從最開始的替換法到如今的非對稱加密演算法,經歷了古典密碼學,近代密 ......

    uj5u.com 2020-09-10 03:03:50 more
  • 密碼學DAY1_02

    目錄 ##1.1 ASCII編碼 ASCII(American Standard Code for Information Interchange,美國資訊交換標準代碼)是基于拉丁字母的一套電腦編碼系統,主要用于顯示現代英語和其他西歐語言。它是現今最通用的單位元組編碼系統,并等同于國際標準ISO/IE ......

    uj5u.com 2020-09-10 03:04:50 more
  • 密碼學DAY2

    ##1.1 加密模式 加密模式:https://docs.oracle.com/javase/8/docs/api/javax/crypto/Cipher.html ECB ECB : Electronic codebook, 電子密碼本. 需要加密的訊息按照塊密碼的塊大小被分為數個塊,并對每個塊進 ......

    uj5u.com 2020-09-10 03:05:42 more
  • NTP時鐘服務器的特點(京準電子)

    NTP時鐘服務器的特點(京準電子) NTP時鐘服務器的特點(京準電子) 京準電子官V——ahjzsz 首先對時間同步進行了背景介紹,然后討論了不同的時間同步網路技術,最后指出了建立全球或區域時間同步網存在的問題。 一、概 述 在通信領域,“同步”概念是指頻率的同步,即網路各個節點的時鐘頻率和相位同步 ......

    uj5u.com 2020-09-10 03:05:47 more
  • 標準化考場時鐘同步系統推進智能化校園建設

    標準化考場時鐘同步系統推進智能化校園建設 標準化考場時鐘同步系統推進智能化校園建設 安徽京準電子科技官微——ahjzsz 一、背景概述隨著教育事業的快速發展,學校建設如雨后春筍,隨之而來的學校教育、管理、安全方面的問題成了學校管理人員面臨的最大的挑戰,這些問題同時也是學生家長所擔心的。為了讓學生有更 ......

    uj5u.com 2020-09-10 03:05:51 more
  • 位元幣入門

    引言 位元幣基本結構 位元幣基礎知識 1)哈希演算法 2)非對稱加密技術 3)數字簽名 4)MerkleTree 5)哪有位元幣,有的是UTXO 6)位元幣挖礦與共識 7)區塊驗證(共識) 總結 引言 上一篇我們已經知道了什么是區塊鏈,此篇說一下區塊鏈的第一個應用——位元幣。其實先有位元幣,后有的區塊 ......

    uj5u.com 2020-09-10 03:06:15 more
  • 北斗對時服務器(北斗對時設備)電力系統應用

    北斗對時服務器(北斗對時設備)電力系統應用 北斗對時服務器(北斗對時設備)電力系統應用 京準電子科技官微(ahjzsz) 中國北斗衛星導航系統(英文名稱:BeiDou Navigation Satellite System,簡稱BDS),因為是目前世界范圍內唯一可以大面積提供免費定位服務的系統,所以 ......

    uj5u.com 2020-09-10 03:06:20 more
最新发布
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:46:47 more
  • Hyperledger Fabric 使用 CouchDB 和復雜智能合約開發

    在上個實驗中,我們已經實作了簡單智能合約實作及客戶端開發,但該實驗中智能合約只有基礎的增刪改查功能,且其中的資料管理功能與傳統 MySQL 比相差甚遠。本文將在前面實驗的基礎上,將 Hyperledger Fabric 的默認資料庫支持 LevelDB 改為 CouchDB 模式,以實作更復雜的資料... ......

    uj5u.com 2023-04-16 07:28:31 more
  • .NET Core 波場鏈離線簽名、廣播交易(發送 TRX和USDT)筆記

    Get Started NuGet You can run the following command to install the Tron.Wallet.Net in your project. PM> Install-Package Tron.Wallet.Net 配置 public reco ......

    uj5u.com 2023-04-14 08:08:00 more
  • DKP 黑客分析——不正確的代幣對比率計算

    概述: 2023 年 2 月 8 日,針對 DKP 協議的閃電貸攻擊導致該協議的用戶損失了 8 萬美元,因為 execute() 函式取決于 USDT-DKP 對中兩種代幣的余額比率。 智能合約黑客概述: 攻擊者的交易:0x0c850f,0x2d31 攻擊者地址:0xF38 利用合同:0xf34ad ......

    uj5u.com 2023-04-07 07:46:09 more
  • Defi開發簡介

    Defi開發簡介 介紹 Defi是去中心化金融的縮寫, 是一項旨在利用區塊鏈技術和智能合約創建更加開放,可訪問和透明的金融體系的運動. 這與傳統金融形成鮮明對比,傳統金融通常由少數大型銀行和金融機構控制 在Defi的世界里,用戶可以直接從他們的電腦或移動設備上訪問廣泛的金融服務,而不需要像銀行或者信 ......

    uj5u.com 2023-04-05 08:01:34 more
  • solidity簡單的ERC20代幣實作

    // SPDX-License-Identifier: GPL-3.0 pragma solidity >=0.7.0 <0.9.0; import "hardhat/console.sol"; //ERC20 同質化代幣,每個代幣的本質或性質都是相同 //ETH 是原生代幣,它不是ERC20代幣, ......

    uj5u.com 2023-03-21 07:56:29 more
  • solidity 參考型別修飾符memory、calldata與storage 常量修飾符C

    在solidity語言中 參考型別修飾符(參考型別為存盤空間不固定的數值型別) memory、calldata與storage,它們只能修飾參考型別變數,比如字串、陣列、位元組等... memory 適用于方法傳參、返參或在方法體內使用,使用完就會清除掉,釋放記憶體 calldata 僅適用于方法傳參 ......

    uj5u.com 2023-03-08 07:57:54 more
  • solidity注解標簽

    在solidity語言中 注釋符為// 注解符為/* 內容*/ 或者 是 ///內容 注解中含有這幾個標簽給予我們使用 @title 一個應該描述合約/介面的標題 contract, library, interface @author 作者的名字 contract, library, interf ......

    uj5u.com 2023-03-08 07:57:49 more
  • 評價指標:相似度、GAS消耗

    【代碼注釋自動生成方法綜述】 這些評測指標主要來自機器翻譯和文本總結等研究領域,可以評估候選文本(即基于代碼注釋自動方法而生成)和參考文本(即基于手工方式而生成)的相似度. BLEU指標^[^?88^^?^]^:其全稱是bilingual evaluation understudy.該指標是最早用于 ......

    uj5u.com 2023-02-23 07:27:39 more
  • 基于NOSTR協議的“公有制”版本的Twitter,去中心化社交軟體Damus

    最近,一個幽靈,Web3的幽靈,在網路游蕩,它叫Damus,這玩意詮釋了什么叫做病毒式營銷,滑稽的是,一個Web3產品卻在Web2的產品鏈上瘋狂傳銷,各方大佬紛紛為其背書,到底發生了什么?Damus的葫蘆里,賣的是什么藥? 注冊和簡單實用 很少有什么產品在用戶注冊環節會有什么噱頭,但Damus確實出 ......

    uj5u.com 2023-02-05 06:48:39 more