docker-compose.yml规范的3.1版引入了对secrets的支持。
我尝试了这个:
version: '3.1'
services:
a:
image: tutum/hello-world
secret:
password: the_password
b:
image: tutum/hello-world
$ docker-compose up 返回:
Unsupported config option for services.secret: 'password'
我们如何在实践中使用机密功能?
Answers:
要使用机密,您需要在docker-compose.yml文件中添加两件事。首先,一个secrets:定义所有机密的顶级块。然后,另一个secrets:每个服务下块,它指定该秘密服务应该接收。
例如,创建Docker将了解的两种类型的秘密:外部秘密和文件秘密。
docker secret create第一件事:要在Docker上使用机密,您所在的节点必须是集群的一部分。
$ docker swarm init
接下来,创建一个“外部”秘密:
$ echo "This is an external secret" | docker secret create my_external_secret -
(请务必在最后加上破折号, -。很容易错过。)
$ echo "This is a file secret." > my_file_secret.txt
docker-compose.yml同时使用两个秘密文件现在已经创建了两种类型的机密,下面是docker-compose.yml将读取这两种机密并将其写入web服务的文件:
version: '3.1'
services:
web:
image: nginxdemos/hello
secrets: # secrets block only for 'web' service
- my_external_secret
- my_file_secret
secrets: # top level secrets block
my_external_secret:
external: true
my_file_secret:
file: my_file_secret.txt
Docker可以从自己的数据库(例如使用制成的秘密docker secret create)或文件中读取秘密。上面显示了两个示例。
使用以下方法部署堆栈:
$ docker stack deploy --compose-file=docker-compose.yml secret_test
这将创建一个web名为的服务实例secret_test_web。
使用docker exec -ti [container] /bin/sh验证的秘密存在。
(注意:在下面的docker exec命令中,该m2jgac...部分在您的计算机上将有所不同。运行docker ps以查找您的容器名称。)
$ docker exec -ti secret_test_web.1.m2jgacogzsiaqhgq1z0yrwekd /bin/sh
# Now inside secret_test_web; secrets are contained in /run/secrets/
root@secret_test_web:~$ cd /run/secrets/
root@secret_test_web:/run/secrets$ ls
my_external_secret my_file_secret
root@secret_test_web:/run/secrets$ cat my_external_secret
This is an external secret
root@secret_test_web:/run/secrets$ cat my_file_secret
This is a file secret.
如果一切顺利,我们在步骤1和2中创建的两个秘密应该位于web部署堆栈时创建的容器内。
Error response from daemon: This node is not a swarm manager. Use "docker swarm init" or "docker swarm join" to connect this node to swarm and try again.我很困惑!我是否需要启动集群才能将docker-compose与机密一起使用?
docker stack deploy命令是Swarm引擎的一部分。我将在步骤1中添加一行以表明这一点。
如果您有一项服务myapp和一个机密文件secrets.yml:
创建一个撰写文件:
version: '3.1'
services:
myapp:
build: .
secrets:
secrets_yaml
使用以下命令设置机密:
docker secret create secrets_yaml secrets.yml
使用以下命令部署服务:
docker deploy --compose-file docker-compose.yml myappstack
现在,您的应用程序可以通过访问秘密文件/run/secrets/secrets_yaml。您可以在应用程序中对此路径进行硬编码或创建符号链接。
不同的问题
这个答案可能是关于“如何将您的机密提供给Docker群集群”的问题。
最初的问题“如何使用docker compose管理机密值”意味着docker-compose文件包含机密值。没有。
还有一个不同的问题:“您在哪里存储规范的来源 secrets.yml文件”。这取决于你。您可以将其存储在头上,在纸上打印,使用密码管理器,或使用专用的机密应用程序/数据库。哎呀,如果它已经安全地保护了自己,您甚至可以使用git存储库。当然,永远不要将其存储在您要保护的系统内:)
我建议金库。要存储秘密:
# create a temporary secret file
cat secrets.yml | vault write secret/myappsecrets -
要检索秘密并将其放入您的docker群中:
vault read -field=value secret/myappsecrets | docker secret create secrets_yaml -
当然,您可以将Docker群集本身用作您机密的唯一事实来源,但是,如果您的Docker群集中断,您将丢失您的机密。因此,请确保在其他地方进行备份。
没有人问的问题
第三个问题(没人问)是如何向开发人员的计算机提供机密。当存在无法在本地模拟的外部服务或无法复制的大型数据库时,可能需要使用该服务。
再次说明,泊坞窗与此无关(至今)。它没有访问控制列表,该列表指定哪些开发人员有权访问哪些机密。它也没有任何身份验证机制。
理想的解决方案似乎是这样的:
docker secret create命令列表,然后在终端中执行它们。我们尚未看到是否弹出这样的应用程序。
./file_based_secret:/run/secrets/my_secret呢?
您还可以secrets使用file:key insecrets对象指定本地存储在文件中。然后,您不必docker secret create自己动手,撰写/docker stack deploy将为您完成。
version: '3.1'
secrets:
password:
file: ./password
services:
password_consumer:
image: alpine
secrets:
- password
参考:撰写文件版本3参考:秘密
password文件中定义多个变量?
我猜关键词secrets不是secret。至少从阅读模式中我可以理解。
docker-compose已经支持机密了吗?docker-compose您正在运行哪个版本?