为了账号安全,请及时绑定邮箱和手机立即绑定

Docker Swarm 进阶:安全管理 Docker Secret

标签:
Docker

webp

前言介绍

在 Docker Swarm 服务中, Secret 是一种 BLOB(二进制大对象) 数据, 就像密码、SSH 私钥、 SSL 证书或那些不应该未加密就直接存储在 Dockerfile 或应用程序代码中的数据。在 Docker 1.13 及更高版本中,可以使用 Docker  Secrets 集中管理这些数据,并将其安全地传输给需要访问的容器。 一个给定的 Secret 只能被那些已被授予明确访问权限的服务使用,并且只能在这些服务任务正在运行的情况下。

不想在镜像或代码中管理的任何敏感数据,都可以使用 Secret 来管理,比如:

  • 用户名和密码

  • TLS certificates and keys

  • SSH keys

  • 其他重要数据:比如数据库名、内部服务器信息

  • 通用的字符串或二进制内容 (最大可达 500 Kb)

提醒: Docker Secret 仅对 Swarm 服务有效,对独立的容器是无用的。如需使用,可以启动 1 个副本的服务来使用 Docker Secret。

另一个使用 Secert 的用例是在容器和一组证书之间提供一个抽象层。考虑一种场景:有开发、测试和生产三套环境,同一个应用程序在不同的环境中都可以拥有不同的凭证,并且以相同的 Secret Name 存储在开发、测试和生产集群中。这样容器只需要知道 Secret Name,就可以在不同的环境中正常工作。

当然,你也可以使用 Docker Secret 管理非敏感数据,比如配置文件。但是,非敏感数据还是建议使用 Docker Config 来管理。

Docker Secret 基本操作

友情提示:“ 需 Swarm Manager 权限才能操作 !”

1、创建 Secret

用法

docker secret create [参数] SECRET [file|-]

参数

简写参数默认值描述
-d--driver
Secret 驱动
-l--label
配置标签

2、Secret 列表

用法

docker secret ls [参数]

参数

简写参数默认值描述
-f--filter
按条件过滤输出

--format
GO 模板转化
-q--quiet
仅展示 ID

3、Secret 详情

用法

docker secret inspect [参数] SECRET [SECRET...]

参数

简写参数默认值描述
-f--format
GO 模板转化

--pretty
以人性化的格式打印信息

4、Secret 删除

用法

docker secret rm SECRET [SECRET...]

Swarm 对 Secret 的管理

方式类似:Docker Swarm 进阶:配置管理 Docker Config

构建支持 Docker Secret 的镜像

如果你开发的容器可以作为服务进行部署,并需要敏感数据(如凭证)作为环境变量,则考虑调整镜像以便充分利用 Docker Secret。

一种方法是确保在创建容器时传递给镜像的每个参数也可以从文件中读取。

提醒:Docker Secret 不直接设置环境变量。这是一个有意识的决定,因为环境变量可能会无意中在容器之间泄漏(例如使用 --link

示例:安全构建 Wordpress 服务

1、创建文件 password.txt,里面存入 Mysql 的 root 密码

touch password.txtecho "myPassword" > password.txt

2、创建文件 wordpress.yml,用于启动 mysql 和 wordpress 服务,内容:

version: '3.3'services:
   db:
     image: mysql:latest
     environment:
       MYSQL_ROOT_PASSWORD_FILE: /run/secrets/db_password
       MYSQL_DATABASE: wordpress
     secrets:
       - db_password

   wordpress:
     depends_on:
       - db
     image: wordpress:latest
     ports:
       - "8000:80"
     environment:
       WORDPRESS_DB_HOST: db:3306
       WORDPRESS_DB_USER: root
       WORDPRESS_DB_PASSWORD_FILE: /run/secrets/db_password
     secrets:
       - db_password

secrets:
   db_password:
     file: password.txt

3、启动 wordpress 服务

docker stack deploy -c wordpress.yml wordpress

webp

4、访问 wordpress

webp

webp



作者:Anoyi
链接:https://www.jianshu.com/p/349205a54abf


点击查看更多内容
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消