『中级篇』Docker-Secret管理和使用(51)
2018-10-05 09:18:25
李明
  • 访问次数: 382
  • 注册日期: 2018-07-09
  • 最后登录: 2022-11-17

原创文章,欢迎转载。转载请注明:转载自 IT人故事会,谢谢!
原文链接地址: 『中级篇』Docker-Secret管理和使用(51)

之前咱们写的docker-compose.yml里面,里面有mysql的时候有变量MYSQL_ROOT_PASSWORD: root,如果别人拿到了这个文件直接root是不是就暴露了,很不安全,针对这个问题,docker-secret都替咱们解决了。源码: https://github.com/limingios/docker/tree/master/No.5/labs/wordpress

什么secret

  • 用户名密码

  • SSH Key

  • TLS认证

  • 任何不想让别人看到的数据

Docker Swarm Mode Architecture

secret在docker中是如何管理的呢?重温一下这个图,docker swarm里面有2个角色Manager 和 Worker,Worker这个节点有个内置的分布式存储,它是基于raft协议,强一致性的,唯一性,可以让manager下面的节点相互之前可以完成同步,manager这个在生产环境下强烈建议是2个manager,如果是一个是单点故障了,Internal分布式存储的它是加密之后放入硬盘的,天然的加密环境,manager和worker节点是通过TLS进行加密的。他们的key都是存在内置节点的分布式数据库节点上,通过加密以后存储在硬盘上的,我想存一些secret可以直接存在manager内置的分布式节点上边,比如一个数据库需要一个密码,我可以给它一个分布式数据库读取的权限。能够访问到这个secret就可以了。


16641ccdcd5e44dd?w=1142&h=607&f=png&s=18
secret management

  • 存在swarm manager 节点raft database里面

  • secret 可以assign给一个service,这个service就能看到这个secret

  • 在container内部secret看起来像文件,但是实际是在内存中

secret 创建 
cd labs/secret-example pwd #编辑password文件,按照你自己的要求写入密码保存 vi password

16641ccdd070e038?w=649&h=73&f=png&s=2223
16641ccdd0ac3741?w=555&h=882&f=png&s=305
16641ccdd05452fb?w=628&h=41&f=png&s=1624

docker secret ls #通过docker secret create 名称 文件名 docker secret create my-pw password docker secret ls #管道的方式复制 echo 'adminadmin2' | docker secret create my-pw2 - docker secret ls

16641ccdcde020d2?w=844&h=230&f=png&s=654
16641ccdd08ee6b3?w=1093&h=217&f=png&s=14

docker secret ls docker secret rm my-pw2 docker secret ls

16641ccdef6d793f?w=1151&h=356&f=png&s=15

service 使用secret

16641ccdf034d1e0?w=1233&h=644&f=png&s=30

#指定secret的名称 docker service create --name client --secret my-pw busybox sh -c "while true;do sleep 36000;done"  docker service ls docker service  ps client docker container ls  #进入这个container中 docker exec -it  92fe68ea886d #进入run/secrets目录 cd /run/secets/ cat my-pw

16641ccdf6380690?w=1240&h=458&f=png&s=61
16641ccdf88583b2?w=1221&h=302&f=png&s=12

上边的是传入一个 如果需要传入多个的话,就需要加入 --secret 名称1 --secret 名称2

看看官网的实例

https://hub.docker.com/_/mysql/

16641ccdfd25b95c?w=1234&h=403&f=png&s=89

通过官网创建mysql看效果 
docker service create --name db --secret my-pw -e MYSQL_ROOT_PASSWORD_FILE=/run/secrets/my-pw mysql docker service ls #发现运行到work2 上边了,咱们去work2看看 docker service ps db #在work2上查看容器信息 docker ps

16641cce0de91c11?w=1240&h=80&f=png&s=135

进入work2 

docker ps docker exec -it fceb5ba1cbac sh cd /run/secrets/ cat my-pw mysql -u root -p #输入上边密码adminadmin

image.png
image.png

stack中的应用 
cd labs/secret-example pwd #截图看到的,引用了secret的方式,前提是已经通过上边说的docker secret create 创建了对应的密码名称 cat docker-compose.yml

16641cce1774d5ab?w=1014&h=558&f=png&s=13

在这个docker-compose最下面有个有三行注释,如果放开的话这是引用了外部密码文件的形式创建docker secret,这种方式虽然省事了,但是有安全隐患,里面多了个passwd文件,最好的方式还是通过docker secret create的方式。


16641cce20b07a68?w=767&h=549&f=png&s=108

运行方式还是跟之前一样的,只是修改了配置文件。 

docker stack deploy wordpress -c=docker-compose.yml

16641cce2e774b34?w=1240&h=548&f=png&s=34

PS:网络现在很发达,密码一定要好好的保存,在公司内部开发安全也是首位,所以本节至关重要!

1663a2acbc43cee2?w=1080&h=541&f=png&s=45
回贴