『中级篇』Docker-Secret管理和使用(51)

之前咱们写的docker-compose.yml里面,里面有mysql的时候有变量MYSQL_ROOT_PASSWORD: root,如果别人拿到了这个文件直接root是不是就暴露了,很不安全,针对这个问题,docker-secret都替咱们解决了。源码:https://github.com/limingios/docker/tree/master/No.5/labs/wordpress

什么secret
  • 用户名密码
  • SSH Key
  • TLS认证
  • 任何不想让别人看到的数据
Docker Swarm Mode Architecture

secret在docker中是如何管理的呢?重温一下这个图,docker swarm里面有2个角色Manager 和 Worker,Worker这个节点有个内置的分布式存储,它是基于raft协议,强一致性的,唯一性,可以让manager下面的节点相互之前可以完成同步,manager这个在生产环境下强烈建议是2个manager,如果是一个是单点故障了,Internal分布式存储的它是加密之后放入硬盘的,天然的加密环境,manager和worker节点是通过TLS进行加密的。他们的key都是存在内置节点的分布式数据库节点上,通过加密以后存储在硬盘上的,我想存一些secret可以直接存在manager内置的分布式节点上边,比如一个数据库需要一个密码,我可以给它一个分布式数据库读取的权限。能够访问到这个secret就可以了。

secret management
  • 存在swarm manager 节点raft database里面
  • secret 可以assign给一个service,这个service就能看到这个secret
  • 在container内部secret看起来像文件,但是实际是在内存中
secret 创建
cd labs/secret-example
pwd
#编辑password文件,按照你自己的要求写入密码保存
vi password

docker secret ls
#通过docker secret create 名称 文件名
docker secret create my-pw password
docker secret ls
#管道的方式复制
echo 'adminadmin2' | docker secret create my-pw2 -
docker secret ls

docker secret ls
docker secret rm my-pw2
docker secret ls

service 使用secret

#指定secret的名称
docker service create --name client --secret my-pw busybox sh -c "while true;do sleep 36000;done" 
docker service ls
docker service  ps client
docker container ls 
#进入这个container中
docker exec -it  92fe68ea886d
#进入run/secrets目录
cd /run/secets/
cat my-pw

上边的是传入一个 如果需要传入多个的话,就需要加入 –secret 名称1 –secret 名称2

看看官网的实例

https://hub.docker.com/_/mysql/

通过官网创建mysql看效果
docker service create --name db --secret my-pw -e MYSQL_ROOT_PASSWORD_FILE=/run/secrets/my-pw mysql
docker service ls
#发现运行到work2 上边了,咱们去work2看看
docker service ps db
#在work2上查看容器信息
docker ps

进入work2

docker ps
docker exec -it fceb5ba1cbac sh
cd /run/secrets/
cat my-pw
mysql -u root -p
#输入上边密码adminadmin

image.png

stack中的应用
cd labs/secret-example
pwd
#截图看到的,引用了secret的方式,前提是已经通过上边说的docker secret create 创建了对应的密码名称
cat docker-compose.yml

在这个docker-compose最下面有个有三行注释,如果放开的话这是引用了外部密码文件的形式创建docker secret,这种方式虽然省事了,但是有安全隐患,里面多了个passwd文件,最好的方式还是通过docker secret create的方式。

运行方式还是跟之前一样的,只是修改了配置文件。

docker stack deploy wordpress -c=docker-compose.yml

PS:网络现在很发达,密码一定要好好的保存,在公司内部开发安全也是首位,所以本节至关重要!

>>原创文章,欢迎转载。转载请注明:转载自IT人故事会,谢谢!
>>原文链接地址:『中级篇』Docker-Secret管理和使用(51)
上一篇: 下一篇:

发表评论

电子邮件地址不会被公开。 必填项已用*标注