文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

「中级中篇」学习docker践行devOps理念

28 篇文章
1
『中级篇』overlay网络和etcd实现多机的容器通信(31)
2
『中级篇』docker的数据持久化存储和数据共享(32)
3
『中级篇』docker的数据持久化存储和数据共享(33)
4
『中级篇』数据持久化之Data Volume(34)
5
『中级篇』数据持久化之bind Mounting(35)
6
『中级篇』docker 使用bind Mounting实战(36)
7
『中级篇』docker容器安装wordpress(37)
8
『中级篇』Docker Compose到底是什么(38)
9
『中级篇』Docker Compose的安装和基本使用(39)
10
『中级篇』Docker 水平扩展和负载均衡(40)
11
『中级篇』Docker compose 部署一个复杂的应用(41)
12
『中级篇』容器编排Docker Swarm介绍(42)
13
『中级篇』docker-swarm创建一个多节点集群(43)
14
『中级篇』play with docker 的使用(44)
15
『中级篇』docker-swarm中的Service创建维护和水平扩展(45)
16
『中级篇』在docker-swarm集群里通过serivce部署wordpress(46)
17
『中级篇』集群服务间通信之RoutingMesh(47)
18
『中级篇』RoutingMesh之Ingress负载均衡(48)
19
『中级篇』Docker-Stack部署wordpress(49)
20
『中级篇』Docker-Stack部署投票应用(50)
21
『中级篇』Docker-Secret管理和使用(51)
22
『中级篇』Docker service更新(52)
23
『中级篇』Docker的收费模式(53)
24
『中级篇』Docker-cloud介绍(54)
25
『中级篇』Docker Cloud自动构建 Docker image(55)
26
『中级篇』Docker企业版的在线免费体验(56)
27
『中级篇』docker企业版本地安装之UCP(57)
28
『中级篇』Kubenetes简介(60)
清单首页「中级中篇」学习docker践行devOps理念文章详情
清单「「中级中篇」学习docker践行devOps理念21/28

『中级篇』Docker-Secret管理和使用(51)

IT架构圈·亚信科技高级架构师

之前咱们写的docker-compose.yml里面,里面有mysql的时候有变量MYSQLROOTPASSWORD: root,如果别人拿到了这个文件直接root是不是就暴露了,很不安全,针对这个问题,docker-secret都替咱们解决了。源码:https://github.com/limingios/docker/tree/master/No.5/labs/wordpress

什么secret

  • 用户名密码
  • SSH Key
  • TLS认证
  • 任何不想让别人看到的数据
Docker Swarm Mode Architecture

secret在docker中是如何管理的呢?重温一下这个图,docker swarm里面有2个角色Manager 和 Worker,Worker这个节点有个内置的分布式存储,它是基于raft协议,强一致性的,唯一性,可以让manager下面的节点相互之前可以完成同步,manager这个在生产环境下强烈建议是2个manager,如果是一个是单点故障了,Internal分布式存储的它是加密之后放入硬盘的,天然的加密环境,manager和worker节点是通过TLS进行加密的。他们的key都是存在内置节点的分布式数据库节点上,通过加密以后存储在硬盘上的,我想存一些secret可以直接存在manager内置的分布式节点上边,比如一个数据库需要一个密码,我可以给它一个分布式数据库读取的权限。能够访问到这个secret就可以了。

secret management
  • 存在swarm manager 节点raft database里面
  • secret 可以assign给一个service,这个service就能看到这个secret
  • 在container内部secret看起来像文件,但是实际是在内存中
secret 创建
代码语言:javascript
复制
cd labs/secret-example
pwd
#编辑password文件,按照你自己的要求写入密码保存
vi password
代码语言:javascript
复制
docker secret ls
#通过docker secret create 名称 文件名
docker secret create my-pw password
docker secret ls
#管道的方式复制
echo 'adminadmin2' | docker secret create my-pw2 -
docker secret ls
代码语言:javascript
复制
docker secret ls
docker secret rm my-pw2
docker secret ls
service 使用secret
代码语言:javascript
复制
#指定secret的名称
docker service create --name client --secret my-pw busybox sh -c "while true;do sleep 36000;done" 
docker service ls
docker service  ps client
docker container ls 
#进入这个container中
docker exec -it  92fe68ea886d
#进入run/secrets目录
cd /run/secets/
cat my-pw

上边的是传入一个 如果需要传入多个的话,就需要加入 --secret 名称1 --secret 名称2

看看官网的实例

https://hub.docker.com/_/mysql/

通过官网创建mysql看效果
代码语言:javascript
复制
docker service create --name db --secret my-pw -e MYSQL_ROOT_PASSWORD_FILE=/run/secrets/my-pw mysql
docker service ls
#发现运行到work2 上边了,咱们去work2看看
docker service ps db
#在work2上查看容器信息
docker ps

进入work2

代码语言:javascript
复制
docker ps
docker exec -it fceb5ba1cbac sh
cd /run/secrets/
cat my-pw
mysql -u root -p
#输入上边密码adminadmin
stack中的应用
代码语言:javascript
复制
cd labs/secret-example
pwd
#截图看到的,引用了secret的方式,前提是已经通过上边说的docker secret create 创建了对应的密码名称
cat docker-compose.yml

在这个docker-compose最下面有个有三行注释,如果放开的话这是引用了外部密码文件的形式创建docker secret,这种方式虽然省事了,但是有安全隐患,里面多了个passwd文件,最好的方式还是通过docker secret create的方式。

运行方式还是跟之前一样的,只是修改了配置文件。

代码语言:javascript
复制
docker stack deploy wordpress -c=docker-compose.yml

PS:网络现在很发达,密码一定要好好的保存,在公司内部开发安全也是首位,所以本节至关重要!

下一篇
举报

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

领券