如何在 Docker Compose 中使用密钥
标签
目录
密钥是任何类型的數據,例如密码、证书或 API 密钥,不应通过网络传输或以未加密形式存储在 Dockerfile 或应用程序源代码中。
Docker Compose 提供了一种无需使用环境变量存储信息即可使用密钥的方法。如果您将密码和 API 密钥作为环境变量注入,则可能会无意中泄露信息。服务只能在 Compose 文件中services
顶级元素的secrets
属性明确授权时才能访问密钥。环境变量通常对所有进程可用,并且可能难以跟踪访问权限。它们还可能在调试错误时在您不知情的情况下打印在日志中。使用密钥可以降低这些风险。
使用密钥
将密钥放入容器是一个两步过程。首先,使用 Compose 文件中的顶级密钥元素 定义密钥。接下来,更新服务定义以使用 密钥属性 引用它们需要的密钥。Compose 允许在每个服务的基础上访问密钥。
与其他方法不同,这允许通过标准文件系统权限在服务容器内进行细粒度访问控制。
示例
简单
在以下示例中,前端服务被授予访问my_secret
密钥的权限。在容器中,/run/secrets/my_secret
设置为文件./my_secret.txt
的内容。
services:
myapp:
image: myapp:latest
secrets:
- my_secret
secrets:
my_secret:
file: ./my_secret.txt
高级
services:
db:
image: mysql:latest
volumes:
- db_data:/var/lib/mysql
environment:
MYSQL_ROOT_PASSWORD_FILE: /run/secrets/db_root_password
MYSQL_DATABASE: wordpress
MYSQL_USER: wordpress
MYSQL_PASSWORD_FILE: /run/secrets/db_password
secrets:
- db_root_password
- db_password
wordpress:
depends_on:
- db
image: wordpress:latest
ports:
- "8000:80"
environment:
WORDPRESS_DB_HOST: db:3306
WORDPRESS_DB_USER: wordpress
WORDPRESS_DB_PASSWORD_FILE: /run/secrets/db_password
secrets:
- db_password
secrets:
db_password:
file: db_password.txt
db_root_password:
file: db_root_password.txt
volumes:
db_data:
在上面的高级示例中
- 每个服务下的
secrets
属性定义了您要注入到特定容器中的密钥。 - 顶级
secrets
部分定义了变量db_password
和db_root_password
,并提供了用于填充其值的file
。 - 每个容器的部署意味着 Docker 在
/run/secrets/<secret_name>
下创建一个临时文件系统挂载,其中包含它们特定的值。
注意
这里演示的
_FILE
环境变量是某些镜像(包括 Docker 官方镜像,例如 mysql 和 postgres 使用的一种约定。
构建 Secrets
在以下示例中,npm_token
密钥在构建时可用。它的值取自NPM_TOKEN
环境变量。
services:
myapp:
build:
secrets:
- npm_token
context: .
secrets:
npm_token:
environment: NPM_TOKEN