『中级篇』Docker-Secret管理和使用(51)
之前咱们写的docker-compose.yml里面,里面有mysql的时候有变量MYSQLROOTPASSWORD: root,如果别人拿到了这个文件直接root是不是就暴露了,很不安全,针对这个问题,docker-secret都替咱们解决了。源码:https://github.com/limingios/docker/tree/master/No.5/labs/wordpress
什么secret
- 用户名密码
- SSH Key
- TLS认证
- 任何不想让别人看到的数据
Docker Swarm Mode Architecture
secret在docker中是如何管理的呢?重温一下这个图,docker swarm里面有2个角色Manager 和 Worker,Worker这个节点有个内置的分布式存储,它是基于raft协议,强一致性的,唯一性,可以让manager下面的节点相互之前可以完成同步,manager这个在生产环境下强烈建议是2个manager,如果是一个是单点故障了,Internal分布式存储的它是加密之后放入硬盘的,天然的加密环境,manager和worker节点是通过TLS进行加密的。他们的key都是存在内置节点的分布式数据库节点上,通过加密以后存储在硬盘上的,我想存一些secret可以直接存在manager内置的分布式节点上边,比如一个数据库需要一个密码,我可以给它一个分布式数据库读取的权限。能够访问到这个secret就可以了。
secret management
- 存在swarm manager 节点raft database里面
- secret 可以assign给一个service,这个service就能看到这个secret
- 在container内部secret看起来像文件,但是实际是在内存中
secret 创建
cd labs/secret-example
pwd
#编辑password文件,按照你自己的要求写入密码保存
vi password
docker secret ls
#通过docker secret create 名称 文件名
docker secret create my-pw password
docker secret ls
#管道的方式复制
echo 'adminadmin2' | docker secret create my-pw2 -
docker secret ls
docker secret ls
docker secret rm my-pw2
docker secret ls
service 使用secret
#指定secret的名称
docker service create --name client --secret my-pw busybox sh -c "while true;do sleep 36000;done"
docker service ls
docker service ps client
docker container ls
#进入这个container中
docker exec -it 92fe68ea886d
#进入run/secrets目录
cd /run/secets/
cat my-pw
上边的是传入一个 如果需要传入多个的话,就需要加入 --secret 名称1 --secret 名称2
看看官网的实例
https://hub.docker.com/_/mysql/
通过官网创建mysql看效果
docker service create --name db --secret my-pw -e MYSQL_ROOT_PASSWORD_FILE=/run/secrets/my-pw mysql
docker service ls
#发现运行到work2 上边了,咱们去work2看看
docker service ps db
#在work2上查看容器信息
docker ps
进入work2
docker ps
docker exec -it fceb5ba1cbac sh
cd /run/secrets/
cat my-pw
mysql -u root -p
#输入上边密码adminadmin
stack中的应用
cd labs/secret-example
pwd
#截图看到的,引用了secret的方式,前提是已经通过上边说的docker secret create 创建了对应的密码名称
cat docker-compose.yml
在这个docker-compose最下面有个有三行注释,如果放开的话这是引用了外部密码文件的形式创建docker secret,这种方式虽然省事了,但是有安全隐患,里面多了个passwd文件,最好的方式还是通过docker secret create的方式。
运行方式还是跟之前一样的,只是修改了配置文件。
docker stack deploy wordpress -c=docker-compose.yml
PS:网络现在很发达,密码一定要好好的保存,在公司内部开发安全也是首位,所以本节至关重要!