如何在 Docker Compose 中使用密钥
目录
密钥是任何不应通过网络传输或以未加密形式存储在 Dockerfile 或应用程序源代码中的数据片段,例如密码、证书或 API 密钥。
Docker Compose 提供了一种无需使用环境变量来存储信息即可使用密钥的方法。如果您将密码和 API 密钥作为环境变量注入,则可能会无意中泄露敏感信息。只有当在 services 顶层元素内通过 secrets 属性显式授权时,服务才能访问密钥。
环境变量通常对所有进程都可用,因此很难跟踪访问情况。在调试错误时,它们也可能在您不知情的情况下被打印到日志中。使用机密(secrets)可以缓解这些风险。
使用密钥
将密钥引入容器是一个两步过程。首先,使用 Compose 文件中的 顶层 secrets 元素定义密钥。接下来,更新您的服务定义,通过 secrets 属性引用它们所需的密钥。Compose 按服务授予对密钥的访问权限。
与其他方法不同,此方法允许通过标准文件系统权限在服务容器内实现细粒度的访问控制。
示例
简单
在以下示例中,前端服务被授予访问 my_secret 秘密的权限。在容器内,/run/secrets/my_secret 被设置为文件 ./my_secret.txt 的内容。
services:
myapp:
image: myapp:latest
secrets:
- my_secret
secrets:
my_secret:
file: ./my_secret.txt高级
services:
db:
image: mysql:latest
volumes:
- db_data:/var/lib/mysql
environment:
MYSQL_ROOT_PASSWORD_FILE: /run/secrets/db_root_password
MYSQL_DATABASE: wordpress
MYSQL_USER: wordpress
MYSQL_PASSWORD_FILE: /run/secrets/db_password
secrets:
- db_root_password
- db_password
wordpress:
depends_on:
- db
image: wordpress:latest
ports:
- "8000:80"
environment:
WORDPRESS_DB_HOST: db:3306
WORDPRESS_DB_USER: wordpress
WORDPRESS_DB_PASSWORD_FILE: /run/secrets/db_password
secrets:
- db_password
secrets:
db_password:
file: db_password.txt
db_root_password:
file: db_root_password.txt
volumes:
db_data:在上述高级示例中:
- 每个服务下的
secrets属性定义了您想要注入到特定容器中的机密信息。 - 顶层
secrets部分定义了变量db_password和db_root_password,并提供用于填充其值的file。 - 每个容器的部署都意味着 Docker 会在
/run/secrets/<secret_name>下创建一个带有其特定值的临时文件系统挂载。
注意
此处演示的
_FILE个环境变量是一些镜像(包括 Docker 官方镜像,如 mysql 和 postgres)所采用的约定。
构建密钥
在以下示例中,npm_token 机密在构建时可用。其值取自 NPM_TOKEN 环境变量。
services:
myapp:
build:
secrets:
- npm_token
context: .
secrets:
npm_token:
environment: NPM_TOKEN