Görüntü analiz yazılımı çalıştırmak için kullanılan bir temel liman görüntü var. Görüntüden oluşturulan her bir kap için, işlenmiş görüntüleri analiz etmek ve dağıtmak için yazılım tarafından kullanılan, sır olarak (şifreleme anahtarları, müşteri bilgileri vb.) Bir dizi yapılandırma ayarları vardır. Bu sırları güvenli bir şekilde bir kaba nasıl iletebilirim?
Yanıtlar:
Liman işçisi konteynerinin içindeki bir uygulamaya sır vermenin 3 yöntemi vardır. İlk 2 liman işçisi yapılandırmasını içeriyor. Sonuncusu, uygulamalarınızın doğrudan gizli bir mağazadan sır almasını sağlamaktır.
Göre "12 Faktör App" rehber , sırlar sadece yapılandırma vardır ve bunlar daima ortamında ayarlanmalıdır. Docker çalışması sırasında sırlarınızı çevre değişkenleri olarak ayarlayabilirsiniz ve uygulamanız bu noktalara erişir.
Sırlarınızı tümü belirli bir yapılandırma / sır dosyası içinde bulabilir, ardından örneğinize monte edilmiş bir birim olarak bağlayabilirsiniz .
@ 030'da belirtildiği gibi, Hashicorp Vault'u (veya "Amazon Secrets Manager" veya bunun gibi herhangi bir servisi) kullanabilirsiniz.
Uygulamanız veya bir sepet uygulaması, Docker kabındaki herhangi bir yapılandırma ile uğraşmak zorunda kalmadan doğrudan ihtiyaç duyduğu sırları getirebilir. Bu yöntem, Dinamik olarak oluşturulmuş sırları (bu tür sistemlerin çok çekici bir özelliği) kullanmanıza ve dosya sisteminden görülebilen sırlar veya dock kabının env değişkenlerini denetlemekten endişelenmenize gerek kalmayacaktır.
Env değişkenlerinin gitmenin yolu olduğuna inanıyorum. Yönetilmesi daha kolaydır ve eğer CI inşa sistemi inşa sırasında sırları çekip dağıtırken onları ayarlattıysanız Hashicorp Vault gibi gizli bir mağazadan çekebilirsiniz. Her iki dünyanın da en iyisini elde edersiniz ve geliştiricilerinizin sırları almak için uygulama kodu yazması gerekmeyen ek avantajlarını elde edersiniz. Devs, kod işlevlerine odaklanmalı ve şifre alma gibi yönetici görevleriyle ilgilenmemelidir.
Uygulamanızın kodu, kendi uygulama işlevselliğine odaklanmalı ve şifre alma gibi arka uç görevleriyle ilgilenmemelidir. Tıpkı 12 Faktör Uygulamasında olduğu gibi.
Düzenleme: Geliştirici vs SysAdmin siloing ima kaldırmak için son cümle değiştirildi. Görevlerin kendileri kod perspektifinden ayrı olmalıdır, ancak DevOps, hem akılda tutulan hem de sınırlı olmamak üzere aynı kişilerle ilgilidir.
@ Dirk’in mükemmel yorumu ( Docker konteynerine sırları geçmek ), onları sızdırmak istemediği için ENV değişkenlerinde gizli bir mağazaya öncelik vermek konusunda çok güçlü bir argüman var.
inspectveya execkomutlarını kullanarak bunları görebilir . Ortam değişkenleri stdout, bazı hata ayıklama modunda çalışırken genellikle günlük dosyalarına veya günlük dosyalarına atılır. Tüm doğmuş çocuk süreçleri, kontrolünüz dışında olabilecek olanları okuyabilir ve açığa çıkarabilir. Daha fazla bilgi burada örneğin: diogomonica.com/2017/03/27/...
Sadece boru kullanan başka bir seçenek var:
docker run -d -i --name $n alpine sh -c 'read A; echo "[$A]"; exec some-server'
docker exec -i $n sh -c 'cat > /proc/1/fd/0' <<< _a_secret_
İlk önce docker arka planını oluştur, -ikomut read Agirişi kesmek için bekleyecektir /proc/1/fd/0; Sonra ikinci docker komutunu çalıştırın, stdin'den sırrını okuyun ve en son askıya alma işlemine yönlendirin.