docker(11、Docker Swarm4)14、如何使用 Secret 15、Secret 的使用场景 16、通过案例学习 Secret

最新推荐文章于 2024-07-14 22:39:43 发布
最新推荐文章于 2024-07-14 22:39:43 发布
阅读量503 收藏 2
点赞数
分类专栏: k8s docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cojn52/article/details/106190461
版权
docker 同时被 2 个专栏收录
53 篇文章 1 订阅
订阅专栏
k8s
42 篇文章 0 订阅
订阅专栏

14、如何使用 Secret

我们经常要想容器传递敏感信息,最常见的就是密码。比如:

docker run -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql

在启动 Mysql 容器时,我们通过环境变量 MYSQL_ROOT_PASSWORD 设置 mysql 的管理员密码。不过密码是以明文的形式写在了 docker run 命令中,有潜在的安全隐患。

为了解决这个问题, docker swarm 提供了secret 机制,允许将敏感信息加密后保存到secret 中,用户可以指定哪些容器可以使用此 secret。

如果使用 secret 启动 Mysql 容器,方法是:

1、在 swarm manager 中创建 secret my_secret_data,将密码保存其中

[root@swarm-manager ~]# echo "my-secret-pw" | docker secret create my_secret_data -
t3u62kw5ekw415cnbccldd8tz
[root@swarm-manager ~]# docker secret ls
ID                          NAME                DRIVER              CREATED             UPDATED
t3u62kw5ekw415cnbccldd8tz   my_secret_data                          14 seconds ago      14 seconds ago
[root@swarm-manager ~]# docker secret inspect my_secret_data
[
    {
        "ID": "t3u62kw5ekw415cnbccldd8tz",
        "Version": {
            "Index": 648
        },
        "CreatedAt": "2020-05-18T04:25:32.703720205Z",
        "UpdatedAt": "2020-05-18T04:25:32.703720205Z",
        "Spec": {
            "Name": "my_secret_data",
            "Labels": {}
        }
    }
]
[root@swarm-manager ~]#

2、启动 MySQL service,并指定使用 secret my_secret_data

[root@swarm-manager ~]# docker service create --name mysql --secret source=my_secret_data,target=mysql_root_password -e MYSQL_ROOT_PASSWORD_FILE="/run/secrets/mysql_root_password" mysql
ipvi0cepi4jug7cb1x68ve165
overall progress: 1 out of 1 tasks 
1/1: running   [==================================================>] 
verify: Service converged 
[root@swarm-manager ~]# 
[root@swarm-manager ~]# docker service ps mysql
ID                  NAME                IMAGE               NODE                DESIRED STATE       CURRENT STATE           ERROR               PORTS
hypso3i8hv55        mysql.1             mysql:latest        swarm-worker1       Running             Running 2 minutes ago                       
[root@swarm-manager ~]# 

[root@swarm-worker1 ~]# docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                 NAMES
f805a9495da8        mysql:latest        "docker-entrypoint.s…"   4 minutes ago       Up 4 minutes        3306/tcp, 33060/tcp   mysql.1.hypso3i8hv55yaxeqwie10ru4
[root@swarm-worker1 ~]# docker exec mysql.1.hypso3i8hv55yaxeqwie10ru4  cat /run/secrets/mysql_root_password
my-secret-pw
[root@swarm-worker1 ~]#

① source 指定容器使用 secret 后,secret 会被解密并存放到容器的文件系统中,默认位置为 /run/secrets/<secret_name>。--secret source=my_secret_data,target=mysql_root_password 的作用就是指定使用 secret my_secret_data,然后把器解密后的内容保存到容器 /run/secrets/mysql_root_password 文件中,文件名称 mysql_root_password 由 target 指定。
② 环境变量 MYSQL_ROOT_PASSWORD_FILE 指定从 /run/secrets/mysql_root_password 中读取并设置 MySQL 的管理员密码。

这里可能会有两个问题:

1、在第一步创建secret时,不是也使用明文了吗?这跟在环境变量中直接指定密码有什么不同?

    在我们的例子中创建secret和使用secret是分开完成的,其好处是将密码和容器解耦。secret可以有专人(比如管理员)负责,而运行容器的用户只需要使用secret但并不需要知道secret的内容。也就是说例子中的两个步骤可以由不同的人在不同的时间完成。

2、secret是以文件形式mount到容器中,容器怎么知道去哪里读取呢?

    这需要image的支持,如果image希望他部署出来的容器能够从secret中读取数据,那么此image就应该提供一种方式,让用户能够制定secret的位置。最常用的方法就是通过环境变量,Docker的很多官方image都采用这种方式,比如Mysql镜像同事提供了MYSQL_ROOT_PASSWORD 和 MYSQL_ROOT_PASSWORD_FILE 两个环境变量

15、Secret 的使用场景

我们可以用 secret 管理任何敏感数据。这些敏感数据是容器在运行时需要的,同时我们不又想将这些数据保存到镜像中。

secret 可用于管理:
1、用户名和密码。
2、TLS 证书。
3、SSH 秘钥。
4、其他小于 500 KB 的数据。
secret 只能在 swarm service 中使用。普通容器想使用 secret,可以将其包装成副本数为 1 的 service。

我们这里在举一个使用secret的典型场景。
数据中心有三套swarm环境,分别用于研发、测试和生产。对于同一个应用,在不同的环境中使用不同的用户名和密码。我们可以在三个环境中分别创建secret,不过使用相同的名字,比如 username 和 password。应用部署的时候三套环境指定同样的secret名字即可。
除了敏感数据,secret当然也可以用于非敏感数据,比如配置文件,不过目前新版本的Docker 提供了config子命令来管理不需要加密的数据。config 与 secret 命令的使用方法完全一致。 
secret的安全性 
当在swarm中创建secret时,Docker 通过 TLS 连接将加密后的secret 发送给所有的manager节点。
secret 创建后,即使是 swarm manager 也无法查看secret的明文数据,只能通过 docker secret inspect 查看secret的一般信息。
只有当secret 被指定的service 使用时,Docker才会将解密后的secret以文件的形式mount到容器中,默认的路径为 /run/secret/<secret_name>。
当容器停止运行是,Docker会unmount secret 文件,并从节点上清除。

16、通过案例学习 Secret

在下面的例子中,我们会部署一个 WordPress 应用,WordPress 是流行的开源博客系统。

我们将创建一个 Mysql Service ,将密码保存到secret 中。我们还会创建一个 WordPress service ,他将使用 secret 连接Mysql 。这个例子将展示如何使用secret避免在image中存放敏感信息,或者在命令行中直接传递敏感信息。

1、创建 secret

创建 secret 存放 MySQL 的管理员密码。

[root@swarm-manager ~]# openssl rand -base64 20 | docker secret create mysql_root_password -
ukxt024w2tdkpvmjg539mlk4u
[root@swarm-manager ~]# docker secret inspect mysql_root_password
[
    {
        "ID": "ukxt024w2tdkpvmjg539mlk4u",
        "Version": {
            "Index": 684
        },
        "CreatedAt": "2020-05-18T04:47:29.347052257Z",
        "UpdatedAt": "2020-05-18T04:47:29.347052257Z",
        "Spec": {
            "Name": "mysql_root_password",
            "Labels": {}
        }
    }
]

ukxt024w2tdkpvmjg539mlk4u是新创建的 service 的 ID,而非 service 的内容。

(上面这种方式是从标准输入读取 secret 的内容,也可以指定从文件中读取,例如:

[root@swarm-manager ~]# openssl rand -base64 20 > password.txt
[root@swarm-manager ~]# docker secret create mysql_root_password_file ./password.txt
897sfdj27t0k65ni2bhenyywr
[root@swarm-manager ~]# docker secret inspect mysql_root_password_file
[
    {
        "ID": "897sfdj27t0k65ni2bhenyywr",
        "Version": {
            "Index": 691
        },
        "CreatedAt": "2020-05-18T04:48:05.168409971Z",
        "UpdatedAt": "2020-05-18T04:48:05.168409971Z",
        "Spec": {
            "Name": "mysql_root_password_file",
            "Labels": {}
        }
    }
]

一般情况下,应用不会直接用 root 密码访问 MySQL。我们会创建一个单独的用户 workpress,密码存放到 secret mysql_password中。

[root@swarm-manager ~]#  openssl rand -base64 20 | docker secret create mysql_password -
hx0lg2nbgbyz2k38uz4is3a83
[root@swarm-manager ~]# docker secret inspect mysql_password
[
    {
        "ID": "hx0lg2nbgbyz2k38uz4is3a83",
        "Version": {
            "Index": 692
        },
        "CreatedAt": "2020-05-18T04:58:55.066156483Z",
        "UpdatedAt": "2020-05-18T04:58:55.066156483Z",
        "Spec": {
            "Name": "mysql_password",
            "Labels": {}
        }
    }
]

[root@swarm-manager ~]# docker secret ls
ID                          NAME                       DRIVER              CREATED             UPDATED
hx0lg2nbgbyz2k38uz4is3a83   mysql_password                                 47 seconds ago      47 seconds ago
ukxt024w2tdkpvmjg539mlk4u   mysql_root_password                            12 minutes ago      12 minutes ago

2、创建自定义 overlay 网络

[root@swarm-manager ~]# docker network create --driver overlay mysql_private
laz9xbf44gtoq4314975tnc3b
[root@swarm-manager ~]# docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
344d54ebb898        bridge              bridge              local
d2ae471ab291        docker_gwbridge     bridge              local
6b5fc34b76ca        host                host                local
oo9lrb47fmw2        ingress             overlay             swarm
laz9xbf44gto        mysql_private       overlay             swarm
68be162550c8        none                null                local
[root@swarm-manager ~]#

3、创建mysql service (有关 mysql 镜像环境变量更详细的使用方法可参考 https://hub.docker.com/_/mysql/

[root@swarm-manager ~]# docker service create --name mysql --network mysql_private --secret source=mysql_root_password,target=mysql_root_password --secret source=mysql_password,target=mysql_password -e MYSQL_ROOT_PASSWORD_FILE='/run/secrets/mysql_root_password' -e MYSQL_PASSWORD_FILE='/run/secrets/mysql_password' -e MYSQL_USER='wordpress' -e MYSQL_DATABASE='wordpress' mysql:5.7
ucasufycqxrq729oztqd8y9r2
overall progress: 1 out of 1 tasks 
1/1: running   [==================================================>] 
verify: Service converged 
[root@swarm-manager ~]# 
[root@swarm-manager ~]# docker service ps mysql
ID                  NAME                IMAGE               NODE                DESIRED STATE       CURRENT STATE           ERROR               PORTS
j6gwo0q4ko7a        mysql.1             mysql:5.7           swarm-worker1       Running             Running 4 minutes ago                       
[root@swarm-manager ~]#

MYSQL_DATABASE 指明创建数据库 wordpress

MYSQL_USER 和 MYSQL_PASSWORD_FILE 指明创建数据库用户 workpress,密码从 secret mysql_password 中读取。

4、创建 WordPress service(有关 wordpress 镜像环境变量更详细的使用方法可参考 https://hub.docker.com/_/wordpress/

[root@swarm-manager ~]# docker service create --name wordpress --network mysql_private --publish 80:80 --secret source=mysql_password,target=wp_db_password -e WORDPRESS_DB_HOST='mysql:3306' -e WORDPRESS_DB_NAME='wordpress' -e WORDPRESS_DB_USER='wordpress' -e WORDPRESS_DB_PASSWORD_FILE='/run/secrets/wp_db_password' wordpress
n6nzptn3mz6t9lbs575z7ec3y
overall progress: 1 out of 1 tasks 
1/1: running   [==================================================>] 
verify: Service converged 
[root@swarm-manager ~]# 
[root@swarm-manager ~]# docker service ps wordpress
ID                  NAME                IMAGE               NODE                DESIRED STATE       CURRENT STATE           ERROR               PORTS
s0za6lq6qyyo        wordpress.1         wordpress:latest    swarm-worker2       Running             Running 5 minutes ago                       
[root@swarm-manager ~]#

WORDPRESS_DB_HOST 指明 MySQL service 地址 mysql:3306,这里用到了 DNS。
WORDPRESS_DB_NAME 指明 WordPress 的数据库为 wordpress,与前面 MYSQL_DATABASE 一致。
WORDPRESS_DB_USER 指明连接 WordPress 数据库的用户为 wordpress,与前面 MYSQL_USER 一致。
WORDPRESS_DB_PASSWORD_FILE 指明数据库的用户 wordpress 的密码,从 secret mysql_password 中获取

5、验证 WordPress

访问 WordPress页面 http://swarm-manager-ip

设置密码后登录界面如下

 

junior1206
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker Swarm集群secrets中管理敏感数据
天使也掉毛
12-21 548
在Swarm集群中管理敏感数据 以往管理敏感数据的姿势通常是 密钥放镜像中、设置环境变量、volume动态挂载等。Docker目前提供了secrets管理功能,用户可以在Swarm集群中安全地管理密码、密钥证书等铭感数据,并允许在多个Docker容器实例之间共享访问指定的敏感数据。 Ps: secret 可以在Docker Compose中使用。 创建secret openssl r...
已部署:使用webhooks更新Kubernetes部署和Docker Swarm服务
02-05
使用Webhooks更新Kubernetes部署和Docker Swarm服务 Kubernetes 创建服务帐户: kubectl create serviceaccount deployd的服务帐户 创建角色绑定,以允许服务帐户执行编辑: kubectl apply -f role-binding.yaml ...
Docker Swarm部署应用的总结
weixin_34414196的博客
02-21 221
原文 大纲 本文只是一种实际部署方案的例子,涉及到的技术有(除Docker/Docker Swarm外): Docker overlay network Fluentd Prometheus stack vegasbrianc的Prometheus监控方案 步骤大纲: 部署Docker machine 基本配置 配置网络 启动...
DockerSecret+DockerConfig介绍及使用
最新发布
qq_45371023的博客
07-14 299
DockerSecret+DockerConfig介绍及使用
Docker Swarm secrets
weixin_30784501的博客
06-13 263
目录 什么是secrets Docker 如何管理secrets docker secret 相关命令 示例一:简单示例 示例二: 在Nginx Service中使用secret 什么是secrets 在docker swarm中,secre...
Docker swarm 管理 secrets
爱死亡机器人
07-04 476
默认情况下,Docker作为一个隔离的单节点工作。所有容器仅部署在引擎上。群模式将它变成了一个多主机集群感知引擎。为了使用秘密功能,Docker必须处于“群模式”。这是通过 2. 创建 secrets 下面的命令将首先创建一个随机的64个字符的令牌,该令牌将存储在一个文件中以供测试之用。令牌文件用于创建名为的秘密文件 例如,还可以使用stdin创建秘密 注意,这种方法将在用户bash历史文件中保留的值。 所有的秘密名称都可以使用 这将不会暴露底层的secrets的values,这个秘密可以在通过Swarm部
docker secret
fanxl10的专栏
11-12 407
创建docekr secret 从文件password中创建my-pw的docker secret docker secret create my-pw password 从键盘输入创建 echo &quot;admin&quot; | docker secret create my-pw2 - 查看创建的docker secret docker secret ls 删除docker secret ...
docker-notes:我的Docker笔记
05-01
通过将应用程序打包为容器映像,可以在具有docker引擎的所有计算机上相同地运行该应用程序。 Docker CLI是用于自动管理入站引擎的界面。 守护程序是创建和运行容器的主要应用程序。 容器基础 当我们从该容器映像...
dockerswarm:云计算的最终目。 使用docker机器的微服务架构,组合和集群
05-13
使用docker机器的微服务架构,组合和集群。sb-login(Java-Spring Boot)8080 Spring Boot微服务对用户进行身份验证。 终点: POST /登录POST / register用户= {long id字符串用户字符串密码字符串rol}在“授权”...
Docker入门教程+Docker实战
01-04
目涉及了Docker的高级特性,如Docker Swarm、Docker Stack、Docker Secret、Docker Service等,以及如何使用Docker来实现服务的负载均衡、服务发现、服务监控、服务更新等功能。你可以在知乎专栏上查看本目的...
azure-docker-swarm:Terraform模板在Azure中启动Docker Swarm
05-02
使用Terraform在Azure中构建跨平台Linux和Windows Docker Swarm。 安装Terraform brew install terraform 机密 pass获取您的Azure ID和秘密 eval $(pass azure-terraform) 您需要将这些环境变量用于terraform ...
Docker Secrets
weixin_30847271的博客
04-19 325
一、简介   在微服务架构应用中,众多组件在集群中动态地创建、伸缩、更新。在如此动态和大规模的分布式系统上,管理和分发密码、证书等敏感信息将会是非常具有挑战性的工作。对于容器应用,传统的秘密分发方式,如将秘钥存放在容器镜像中,或是利用环境变量,volume动态挂载方式动态传入都存在着潜在的安全风险。   为了应对这个问题,在Docker 1.13及更高版本中,Docker推出了Secrets管...
Docker Swarm (安全Secret)
MrLee的博客
08-29 838
一,简介 在 Docker Swarm 服务中,Secret是一种 BLOB(二进制大对象) 数据, 就像密码、SSH 私钥、 SSL 证书或那些不应该未加密就直接存储在 Dockerfile 或应用程序代码中的数据。在 Docker 1.13 及更高版本中,可以使用 Docker Secrets 集中管理这些数据,并将其安全地传输给需要访问的容器。 一个给定的 Secret 只能被那些已...
docker swarm docker secret 的使用管理
coffeesunshine的博客
01-10 426
1、secret management 的作用   用来存储 其他人不想看到 的数据 存在 swarm manager 节点 raft database 里。   secret 可以 assign 给一个 service (or container), 这个 sevice 就能看到这个secret了   在 container 内部 secret 看起来像文件, 但实际是在内存中 2、Create a secret from a file or STDIN as content 从文件创建: 1)vim p
Docker系列】 Docker secrets
柏杉的博客小屋
01-27 1961
secrets 敏感数据保护。例如:密码,key,证书等用Secret保护。 官方文档地址:https://docs.docker.com/engine/swarm/secrets/ 创建secret (有两种方式) 从标准的收入读取 $ echo abc123 | docker secret create mysql_pass - 4nkx3vpdd41tbvl9qs24j7m6w $ docker secret ls ID NAME D
Docker Secret加密
恋恋风辰的技术博客
12-22 1839
Docker Secret 在我们启动docker或者service需要指定密码,这种密码我们有时不想被别人知道,所以可以采用docker secret方式管理。 创建secret可以有两种方式,一种通过文件创建,一种通过命令行创建 我们在本地创建一个文件passwd zack1024 接下我们可以通过如下命令创建secret docker secret create my-pw passwd 运行后可以看到屏幕输出如下 qq463dkw4da9s05rwinntmo09 这是一
通过案例学习 Secret - 每天5分钟玩转 Docker 容器技术(110)
weixin_34101784的博客
11-13 60
在下面的例子中,我们会部署一个 WordPress 应用,WordPress 是流行的开源博客系统。 我们将创建一个 MySQL service,将密码保存到 secret 中。我们还会创建一个 WordPress service,它将使用 secret 连接 MySQL。这个例子将展示如何用 secret 避免在 image 中存放敏感信息,或者在命令...
『中级篇』Docker-Secret管理使用(51)
IT架构圈博客
09-01 437
原创文章,欢迎转载。转载请注明:转载自IT人故事会,谢谢! 原文链接地址:『中级篇』Docker-Secret管理使用(51) 之前咱们写的docker-compose.yml里面,里面有mysql的时候有变量MYSQL_ROOT_PASSWORD: root,如果别人拿到了这个文件直接root是不是就暴露了,很不安全,针对这个问题,docker-sec...
36. docker swarm docker secret 的使用管理
weixin_30338481的博客
08-27 177
1.secret management 的作用   用来存储 其他人不想看到 的数据 2.secret management   存在 swarm manager 节点 raft database 里。   secret 可以 assign 给一个 service (or container), 这个 sevice 就能看到这个secret了   在 container 内部...
docker使用minio集群
06-26
Docker 和 MinIO 集群结合使用可以帮助你创建一个可扩展、高性能的对象存储系统。MinIO 是一个开源、高性能、云原生的对象存储服务器,非常适合部署在 Docker 容器中。以下是使用 Docker 和 MinIO 集群的基本步骤: 1. **安装 MinIO**: - 在 Docker 容器中安装 MinIO,你可以从官方 Docker Hub 获取预构建的镜像:`docker pull minio/minio` - 或者拉取最新镜像并运行容器:`docker run --name my-minio -p 9000:9000 -v minio-data:/data minio/minio` 2. **配置和初始化集群**: - 如果需要多个节点组成集群,可以运行多个容器,每个容器都需要一个唯一的端口映射,如9000、9001等,并使用相同的数据卷挂载。 - 使用环境变量 `MINIO_ACCESS_KEY` 和 `MINIO_SECRET_KEY` 设置访问密钥和秘密密钥。 - 对于多节点集群,可以通过 `minio gateway s3` 或 `minio gateway http` 创建一个基于 S3 或 HTTP 协议的网关,使外部服务可以访问集群。 3. **配置客户端**: - 使用 `mc`(MinIO 客户端)工具连接到集群,需要提供所有节点的 URL 和相应的认证信息。 4. **故障转移和负载均衡**: - 可以通过 Docker Compose 或 Kubernetes 等容器编排工具来自动管理集群,实现故障转移和负载均衡。 5. **安全和持久化**: - 使用 Docker Network 或 Swarm 来限制对集群的访问,保护敏感数据。 - 数据卷(如 EBS 或本地存储)用于持久化存储,保证数据在容器重启后仍然可用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值