目前,我们在单个Docker容器上运行一个应用程序,该应用程序需要将各种敏感数据作为环境变量进行传递,
我将它们放在run命令上,这样它们就不会出现在映像中,然后再出现在存储库中,但是我最终得到了一个非常不安全的run命令,
现在,我了解到存在Docker机密,但是,如何在不部署集群的情况下使用它们呢?还是有其他方法可以保护此数据?
最好的祝福,
Answers:
您不能...没有Swarm,它不支持机密。除非“可能是”,否则您仅使用一个节点进行“群集”。
我认为另一种解决方案是使用像这样的第三方保险库软件:
但是,要使用Vault中容器中的机密信息,您需要阅读文档。
希望这能带您走上正确的道路。
build-args最终映像中不包含它们,但是只能在映像构建期间访问。合适的解决方案是将机密信息写入主机上的文件(当然具有适当的权限),然后将其批量安装到Docker容器中。然后,您位于容器内的应用程序可以从这些文件中读取机密信息
是的,如果您使用撰写文件,则可以使用机密。(您不需要运行一群)。
您将组合文件与docker-compose一起使用:docker-compose.yml文件中包含有关“秘密”的文档。
我改用docker-compose,因为我想使用秘密。我做的很开心,看起来还干净得多。每个服务都映射到一个容器。而且,如果您想改而运行群,则基本上已经存在了。
注意:机密未加载到容器的环境中,而是已安装到/ run / secrets /
这是一个例子:
1)项目结构:
|
|--- docker-compose.yml
|--- super_duper_secret.txt
2)docker-compose.yml内容:
version: "3.6"
services:
my_service:
image: centos:7
entrypoint: "cat /run/secrets/my_secret"
secrets:
- my_secret
secrets:
my_secret:
file: ./super_duper_secret.txt
3)super_duper_secret.txt内容:
Whatever you want to write for a secret really.
4)从项目的根目录运行此命令,以查看该容器确实有权访问您的秘密(Docker必须正在运行并且已安装docker-compose):
docker-compose up --build my_service
您应该看到您的容器输出了您的秘密。
docker-compose使用机密的有效示例?文档和对实现的理解表明,不会在容器中配置密码。
docker-compose.yml在单个节点上),就无法在我的服务上复制它;当我启动容器时,该容器/run仅包含,nginx.pid而没有Mounts显示docker inspect $container。