如何在 Docker Compose 中使用密钥

密钥是不应通过网络传输或以未加密方式存储在 Dockerfile 或应用程序源代码中的任何数据，例如密码、证书或 API 密钥。

Docker Compose 为您提供了一种使用密钥的方法，而无需使用环境变量来存储信息。如果您将密码和 API 密钥作为环境变量注入，则可能会无意中泄露信息。服务只有在由secrets属性中的servicestop-level 元素。

环境变量通常对所有进程都可用，并且可能很难跟踪访问权限。在您不知情的情况下调试错误时，它们也可以打印在日志中。使用机密可以降低这些风险。

使用密钥

将密钥放入容器的过程分为两个步骤。首先，使用 Compose 文件中的顶级 secrets 元素定义密钥。接下来，更新您的服务定义，以使用 secrets 属性引用它们所需的密钥。Compose 基于每个服务授予对密钥的访问权限。

与其他方法不同，这允许通过标准文件系统权限在服务容器内进行精细访问控制。

例子

简单

在以下示例中，前端服务被授予对my_secret秘密。在容器中，/run/secrets/my_secret设置为文件的内容./my_secret.txt.

services:
  myapp:
    image: myapp:latest
    secrets:
      - my_secret
secrets:
  my_secret:
    file: ./my_secret.txt

高深

services:
   db:
     image: mysql:latest
     volumes:
       - db_data:/var/lib/mysql
     environment:
       MYSQL_ROOT_PASSWORD_FILE: /run/secrets/db_root_password
       MYSQL_DATABASE: wordpress
       MYSQL_USER: wordpress
       MYSQL_PASSWORD_FILE: /run/secrets/db_password
     secrets:
       - db_root_password
       - db_password

   wordpress:
     depends_on:
       - db
     image: wordpress:latest
     ports:
       - "8000:80"
     environment:
       WORDPRESS_DB_HOST: db:3306
       WORDPRESS_DB_USER: wordpress
       WORDPRESS_DB_PASSWORD_FILE: /run/secrets/db_password
     secrets:
       - db_password


secrets:
   db_password:
     file: db_password.txt
   db_root_password:
     file: db_root_password.txt

volumes:
    db_data:

在上面的高级示例中：

这secrets属性定义要注入到特定容器中的密钥。
顶级secrets部分定义变量db_password和db_root_password并提供file填充其值。
每个容器的部署意味着 Docker 会在/run/secrets/<secret_name>替换为其特定值。

注意
这_FILE此处演示的环境变量是某些镜像使用的约定，包括 Docker 官方镜像（如 mysql 和 postgres）。

构建密钥

在以下示例中，npm_tokensecret 在构建时可用。它的值取自NPM_TOKEN环境变量。

services:
  myapp:
    build:
      secrets:
        - npm_token
      context: .

secrets:
  npm_token:
    environment: NPM_TOKEN

如何在 Docker Compose 中使用密钥

使用密钥

例子

简单

高深

构建密钥

资源