为了账号安全,请及时绑定邮箱和手机立即绑定

三个实用的Docker 密钥管理案例

如在先前的文章中提到的,Docker secrets 是一种安全地管理 Docker 化环境中敏感信息的方法。您可能已经知道如何在 compose 文件中使用 secrets,以及如何使用 docker secret 命令来管理它们。

作为上一篇文章的后续,我们将探讨 Docker secrets 的三个实用案例。我们将展示如何在 Dockerfile 中使用 Docker 密钥,如何使用 Docker 密钥管理 WordPress 密钥,以及如何回滚一个密钥。通过这些实际示例,你将更好地理解如何在实际环境中使用 Docker 密钥。

前提条件

要充分理解本文中的实际示例,您应该对 Docker 和 Docker 密钥有一些基本的认识。如果您还不太了解 Docker 密钥,可以查看之前的博客文章了解更多信息。

此外,你需要在你的机器上安装 Docker,并且最好启用 Docker Swarm。

在 Dockerfile 中使用 Docker Secrets:

在某些情况下,您可能需要将密文直接嵌入到Docker镜像中。这在需要在构建时存在密文时构建镜像时可能是必要的。在这个例子中,我们将使用Dockerfile将机密信息嵌入到Docker镜像中。

步骤 1:创建一个秘密

首先,您必须创建一个秘密凭证,并将其包含进Docker镜像。可以使用docker secret create命令创建。

在本教程中,你在主目录(如 $HOME/.aws/credentials)里有一个名为 aws_credentials 的文件,里面存储了 AWS 访问密钥。

步骤 2:新建一个 Dockerfile

在你的项目目录中创建一个Dockerfile。这个Dockerfile将定义构建Docker镜像的步骤,包括如何访问及使用敏感信息。

FROM your_base_image
# 从基础镜像开始 (chóng jīchǔ jìngxiàng kāishǐ)
# 创建一个存放凭证文件的文件夹  
RUN mkdir -p /run/secrets  
# 将凭证文件复制到容器中  
COPY $HOME/.aws/credentials /run/secrets/aws_credentials  
# 在构建过程中使用凭证  
RUN --mount=type=secret,id=mytoken  
TOKEN=$(cat /run/secrets/aws_credentials)  
# 在此处添加你的构建命令

your_base_image 替换为你为 Docker 镜像所用的基础镜像。

此Dockerfile创建一个用于存放密钥文件的目录,将密钥文件复制到容器中,然后在构建过程中使用该密钥文件。--mount=type=secret,id=mytoken标志可以让您将密钥文件安全传递给构建过程。

在实际情况中,你需要把 # Your build commands here 替换成用来构建你自己的 Docker 镜像的特定命令。

注意:如前文所述,不建议通过像Git这样的版本控制系统共享秘密。在这个例子中,假设这个秘密文件被存储在您本地的电脑上,因此不会被分享给其他人。

步骤 3 构建你的 Docker 图像

现在,记得要用 docker build 命令构建 Docker 镜像。记得要用 --secret 标志将秘密传递给构建流程。

    docker build --secret id=mytoken . # 使用 --secret 选项设置密钥 id 为 mytoken

此命令将在构建您的Docker镜像时,安全地传递密文到构建过程。

步骤 4:在应用中使用秘密

你现在可以根据需要使用该密钥。例如,如果你的应用程序使用访问密钥(access key)与 AWS 服务进行交互,可以通过 Dockerfile 中设置的 TOKEN 环境变量来访问它。

注意哦: 记得将 mytoken 替换为有意义的标识符,用于您的密钥。例如本例中的 aws_credentials 文件应被安全存储,并且只能由授权用户访问,确保安全。

管理 WordPress 里的秘密设置

WordPress 是一个非常流行的内容管理系统,通常需要安全地管理比如数据库密码这样的敏感信息。

在这个示例中,我们将利用 Docker secrets 来管理敏感凭证,如数据库密码,创建单个节点的 MySQL 和 WordPress 服务。我们将为 WordPress 设置 MySQL 数据库,并配置 WordPress 连接到 MySQL。

概要

下面是一个概要

这个教程可能会有点复杂,所以咱们一步一步来。

  1. 生成随机的字母数字密码用于MySQL的root用户和WordPress数据库。
  2. 为MySQL和WordPress创建Docker密钥(secrets)。
  3. 使用Docker密钥配置MySQL服务。
  4. 配置WordPress服务以使用带有Docker密钥的MySQL数据库。
  5. 验证服务是否运行并测试WordPress的功能。
步骤 1:生成 Docker 秘钥信息

为 MySQL root 和 WordPress 网站的数据库生成一些随机密码:

    # 生成 MySQL root 用户的密码  
    openssl rand -base64 20 | docker secret create mysql_root_password -
生成一个随机的MySQL root用户的密码,并将其存储为一个Docker密钥。
    # 生成WordPress数据库密码的一个命令是这样的:  
    openssl rand -base64 20 | docker secret create mysql_password -
    # 该命令使用openssl生成一个随机的Base64编码字符串,并将其设置为Docker秘密mysql_password。

你现在应该已经创建了两个 Docker secrets 文件,它们看起来像这样:输出类似于:

uxm1a4sjjsg7enq2m1dtmvnon  
5judi7jm6d02xs99lj8061wul

注:以上为随机生成的字符序列,无需翻译或解释。
步骤 2:启动 MySQL 服务

使用 Docker 的 secrets 创建一个 MySQL 服务:

    docker network create -d overlay mysql_private
    # 创建一个名为mysql_private的overlay网络 (Create an overlay network named mysql_private)
docker service create \  
    --name mysql \  
    --replicas 1 \  
    --network mysql_private  --使用网络 mysql_private \
    --mount type=volume,source=mydata,destination=/var/lib/mysql  --挂载类型为 volume, 源为 mydata, 目标为 /var/lib/mysql \
    --secret source=mysql_root_password,target=mysql_root_password \  
    --secret source=mysql_password,target=mysql_password \  
    -e MYSQL_ROOT_PASSWORD_FILE="/run/secrets/mysql_root_password"  # 设置 MYSQL_ROOT_PASSWORD_FILE 环境变量为指定路径 \
    -e MYSQL_PASSWORD_FILE="/run/secrets/mysql_password"  # 设置 MYSQL_PASSWORD_FILE 环境变量为指定路径 \
    -e MYSQL_USER="wordpress"  # 设置 MYSQL_USER 环境变量为 wordpress \
    -e MYSQL_DATABASE="wordpress"  # 设置 MYSQL_DATABASE 环境变量为 wordpress \
    mysql:latest  # 使用最新的 mysql 镜像

请提供具体的英文文本以供翻译。

v87xhur2iqhwhvmql11345l7k  
总进度:1 项   
1/1: 运行   [==================================================>]   
验证中:服务已稳定

此命令创建一个带有指定密钥信息和环境变量的MySQL服务。该MySQL服务将连接到mysql_private overlay网络。

第三步:搭建 WordPress 站点

搭建一个WordPress服务,使用Docker密钥连接到MySQL数据库:

    docker service create \  
        --name wordpress \  
        --replicas 1 \  
        --network mysql_private \  
        --publish published=30000,target=80 \  
        --mount type=volume,source=wpdata,destination=/var/www/html \  
        --secret source=mysql_password,target=wp_db_password \  
        -e WORDPRESS_DB_USER="wordpress" \  
        -e WORDPRESS_DB_PASSWORD_FILE="/run/secrets/wp_db_password" \  
        -e WORDPRESS_DB_HOST="mysql:3306" \  
        -e WORDPRESS_DB_NAME="wordpress" \  
        wordpress:latest

你应该看到类似这样的输出:

    whoumrpbcry3exply4fl9euue  
    总体进度:1/1 任务已完成
    1/1: 运行   [==================================================>]   
    验证:服务已就绪

此命令创建了一个使用Docker secrets连接到MySQL的WordPress服务实例,该服务在端口30000上可访问。

第四步:验证并测试

最后,检查服务是否在运行,并测试一下 WordPress 的功能。

docker service ls
    # 测试一下 WordPress  
    docker service ps wordpress

你的结果应该类似于——

    ID             名称          镜像              节点             期望状态   当前状态                      错误信息     绑定的端口  
    q2qzd1d2hup1   wordpress.1   wordpress:latest   docker-desktop   运行中       已运行 2 分钟了

访问 http://localhost:30000/ 从任何 swarm 节点上,通过网页向导来设置 WordPress。确认 WordPress 可以正常运行,并且其状态能够保存在服务重启之后。

注意哦: 运行服务需要一个正在运行的Docker Swarm。如果你用的是Docker Desktop,可以通过docker swarm init启用Swarm模式。

旋转回的秘密

旋转一个密钥意味着改变其值而不干扰使用它的服务。这是重要的安全措施,旨在阻止未经授权获取敏感信息。

本教程将展示如何在Docker中更换密钥。我们将基于之前的用例,创建一个带有新MySQL密码的新密钥,更新MySQL和WordPress服务使其使用新密钥,最后移除旧密钥。

第一步:创建一个新的秘密

创建一个新密码,并将其保存为名为 mysql_password_v2 的密钥。

使用openssl生成一个20字节的base64随机字符串,然后用docker secret创建一个名为mysql_password_v2的秘密。

openssl rand -base64 20 | docker secret create mysql_password_v2 -
vwqvnkm1gploicqk2g32vwpf2
更新服务步骤 2

更新 MySQL 服务,使其能够访问旧密令和新密令。移除旧密令并添加新密令。

docker 服务更新 \  
    --secret-rm mysql_password mysql \  
(移除名为 mysql_password 的密钥并更新服务 mysql)
    docker service update \; # 更新docker服务以添加新的密钥配置
    --密钥配置添加 source=mysql_password,target=old_mysql_password \; # 源密钥:mysql_password 目标密钥:old_mysql_password
    --密钥配置添加 source=mysql_password_v2,target=mysql_password \; # 源密钥:mysql_password_v2 目标密钥:mysql_password
    mysql # 更新mysql服务

你可以看到类似这样的输出:

    mysql  
    总进度:1/1 任务   
    1/1: 运行 [==================================================>]   
    验证:等待 5 秒验证任务是否稳定...   
    服务更新暂停:任务 f98yfogvf606ddrdc0z3b1paf 失败或提前终止,更新暂停
    mysql  
    总进度: 1 个任务中的第 1 个  
    1/1: 运行   [==================================================>]   
    验证: 服务已就绪

此命令将 MySQL 服务更新为使用新密钥,同时为了兼容旧版本保留了旧密钥。

步骤 3:MySQL 密码更改

使用 mysqladmin 命令行工具更改 WordPress 用户的 MySQL 密码。此命令从密钥文件中读取旧密码和新密码如下:

mysqladmin -u wp_user -p`cat old_password_file` password `cat new_password_file`

其中,mysqladmin 命令使用 -u 选项指定用户名,并通过反引号中的命令读取旧密码文件和新密码文件内容。

docker 容器执行 $(docker ps --filter name=mysql -q) \  
    bash -c 'mysqladmin --user=wordpress --password="$(< /run/secrets/old_mysql_password)" password "$(< /run/secrets/mysql_password)"'

解释:此命令用于执行 Docker 容器中的 bash 脚本,该脚本会更改 MySQL 数据库的密码。docker container exec 命令用于在指定的 Docker 容器中执行命令,bash -c 表示执行 Bash 脚本中的命令,mysqladmin 是用于管理 MySQL 数据库的命令,其中 --user--password 分别用于指定用户名和密码。密码文件路径 /run/secrets/old_mysql_password/run/secrets/mysql_password 分别用于读取旧密码和新密码。

你应该看到类似下面的输出,例如:……

    mysqladmin: 警告:在命令行界面使用密码可能不安全。
    警告:由于密码将以明文形式发送到服务器,建议使用 SSL 连接以增强密码安全性。

该命令将MySQL中的WordPress用户的密码改为新的密码。

第 4 步:更新 WordPress

将 WordPress 服务更新为使用新密码,并发起滚动重启。

更新 docker 服务 \  
--移除密钥 mysql_password \  
--添加密钥 source=mysql_password_v2,目标密钥为 wp_db_password \  
wordpress  # 这是 WordPress 服务

你应该看到类似以下的屏幕输出:

    ```bash  
    wordpress  
    总进度:1 任务已完成 1 个   
    1/1: 运行中   [==================================================>]   
    验证:服务已就绪   
    ```此命令会更新 WordPress 服务,让它使用新密钥并移除旧密钥。
第五步:检查功能是否正常

在 WordPress 网站上,验证您是否仍然能够按预期访问和互动。确认 MySQL 密码更改没有影响 WordPress 功能。

注意:您可能想知道这一切在像 Semaphore 这样的 CI/CD 流水线中是如何运作的。为了做到这一点,您需要脚本。这样您就不再需要手动在您的机器上运行这些命令了,CI/CD 流水线会在有新代码推送或触发事件时自动执行这些脚本和命令。要尝试,请参阅此 GitHub 项目,该项目详细介绍了这一过程。

不过,Semaphore 提供了一种更简单的方法来将机密信息纳入您的项目。您可以查看这个页面创建和管理机密以了解更多信息。

第六步:撤销访问权限并进行清理

确认服务运行正常后,撤销对旧秘密的访问并清理旧秘密内容:

更新docker服务 \  
--移除密钥 mysql_password \  
mysql (这里mysql指的是服务名称)
docker secret rm mysql_password

执行上述命令可以删除名为 mysql_password 的 Docker 密钥。

你应该看到下面这样的输出 -

    ```bash  
    mysql  
    总进度:1/1 任务   
    1/1: 运行   [==================================================>]   
    验证:服务已就绪   
    mysql_password // 注意:此处为MySQL密码  


# 最后一点

在这篇文章中,我们探讨了Docker secrets的三个实用案例。我们讨论了如何利用Dockerfile将秘密整合进Docker镜像中,如何使用Docker secrets管理WordPress中的秘密,以及如何在Docker中轮换秘密。

通过这些示例,使用密文变得更加简单。现在,您可以在项目中使用 Docker 密文,以安全地管理敏感数据并提升您的 Docker 化应用的安全性能。

原发布于[_https://semaphoreci.com_](https://semaphoreci.com/blog/docker-secrets) 2024年5月29日。
点击查看更多内容
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消