云计算核心技术Docker教程：DockerSwarm使用公钥基础设施P

Docker内置的组模式公钥基础设施系统使得安全部署容器编排系统变得非常容易集群中的节点使用相互传输层安全性来验证，授权和加密与集群中其他节点的通信

当您在创建群时运行Docker群初始化时，Docker会将自己指定为管理器节点默认情况下，管理器节点生成新的根证书颁发机构和密钥对，以保护与加入群集的其他节点的通信如果您愿意，可以使用docker swarm init命令的— external—ca标志来指定您自己的外部生成的根ca

当您加入群集中的其他节点时，管理器节点还将为使用:生成两个令牌，一个工作令牌和一个管理器令牌每个令牌包括根证书的摘要和随机生成的秘密当节点加入群集时，加入的节点使用摘要来验证来自远程管理器的根CA证书远程管理器使用该秘密来确保加入的节点是被批准的节点

每当新节点加入群集时，管理器都会向该节点颁发证书证书包含随机生成的节点标识，用于标识证书通用名称下的节点和组织单位下的角色节点标识在当前集群中节点的生命周期中用作加密的安全节点标识

下图说明了管理节点和工作节点如何使用至少TLS 1.2来加密通信。

以下示例显示了来自工作节点证书的信息:

默认情况下，swarm中的每个节点每三个月更新一次证书您可以通过运行docker swarm update—cert—expire命令来配置此时间间隔最小旋转值为1小时有关更多信息，请参见docker swarm update CLI参考