Docker Secret的管理和使用詳解

更新時間：2021年03月16日 11:55:30 作者：Bright

這篇文章主要介紹了Docker Secret的管理和使用詳解，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

一、什么是Docker Secret

（一）情景展現(xiàn)

我們知道有的service是需要設置密碼的，比如mysql服務是需要設置密碼的：

version: '3'

services:

 web:
  image: wordpress
  ports:
   - 8080:80
  volumes:
   - ./www:/var/www/html
  environment:
   WORDPRESS_DB_NAME=wordpress
   WORDPRESS_DB_HOST: mysql
   WORDPRESS_DB_PASSWORD: root
  networks:
   - my-network
  depends_on:
   - mysql
  deploy:
   mode: replicated
   replicas: 3
   restart_policy:
    condition: on-failure
    delay: 5s
    max_attempts: 3
   update_config:
    parallelism: 1
    delay: 10s

 mysql:
  image: mysql
  environment:
   MYSQL_ROOT_PASSWORD: root
   MYSQL_DATABASE: wordpress
  volumes:
   - mysql-data:/var/lib/mysql
  networks:
   - my-network
  deploy:
   mode: global
   placement:
    constraints:
     - node.role == manager

volumes:
 mysql-data:

networks:
 my-network:
  driver: overlay

可以看到在這個docker-compose.yml中的兩個service密碼都是明文，這樣就導致了不是很安全，那么究竟什么是Docker secret以及能否解決上面的問題呢？

（二）Docker Secret

　　我們知道m(xù)anager節(jié)點保持狀態(tài)的一致是通過Raft Database這個分布式存儲的數(shù)據(jù)庫，它本身就是將信息進行了secret，所以可以利用這個數(shù)據(jù)庫將一些敏感信息，例如賬號、密碼等信息保存在這里，然后通過給service授權的方式允許它進行訪問，這樣達到避免密碼明文顯示的效果。

　　總之，secret的Swarm中secret的管理通過以下步驟完成：

secret存在于Swarm Manager節(jié)點的的Raft Database里
secret可以assign給一個service，然后這個service就可以看到這個secret
在container內部secret看起來像文件，實際上就是內存

二、Docker Secret的創(chuàng)建與使用

（一）創(chuàng)建

我們先看看創(chuàng)建的一些幫助說明：

[root@centos-7 ~]# docker secret --help

Usage:  docker secret COMMAND

Manage Docker secrets

Commands:
 create   Create a secret from a file or STDIN as content
 inspect   Display detailed information on one or more secrets
 ls     List secrets
 rm     Remove one or more secrets

Run 'docker secret COMMAND --help' for more information on a command.

第一個命令就是創(chuàng)建的命令，我們再來看看它有什么幫助信息：

[root@centos-7 ~]# docker secret create --help

Usage:  docker secret create [OPTIONS] SECRET [file|-]

Create a secret from a file or STDIN as content

Options:
 -d, --driver string      Secret driver
 -l, --label list        Secret labels
   --template-driver string  Template driver

可以看到說明secret可以來自于一個文件或者一個標準輸出。那么也就是Secret的創(chuàng)建有兩種方式，分別是：

基于文件的創(chuàng)建
基于命令行創(chuàng)建

1、基于文件創(chuàng)建

首先先創(chuàng)建一個文件用于存放密碼

[root@centos-7 ~]# vim mysql-password
root

然后再進行創(chuàng)建secret

[root@centos-7 ~]# docker secret create mysql-pass mysql-password 
texcct9ojqcz6n40woe97dd7k

　　其中，mysql-pass是secret的名稱，mysql-password是我們建立存儲密碼的文件，這樣執(zhí)行后就相當于將文件中的密碼存儲在Swarm中manager節(jié)點的Raft Database中了。為了安全起見，現(xiàn)在可以直接將這個文件刪掉，因為Swarm中已經有這個密碼了。

[root@centos-7 ~]# rm -f mysql-password

現(xiàn)在可以查看一下secret列表：

[root@centos-7 ~]# docker secret ls
ID             NAME        DRIVER       CREATED       UPDATED
texcct9ojqcz6n40woe97dd7k  mysql-pass               4 minutes ago    4 minutes ago

已經存在了。

2、基于命令行創(chuàng)建

[root@centos-7 ~]# echo "root" | docker secret create mysql-pass2 -
hrtmn5yr3r3k66o39ba91r2e4
[root@centos-7 ~]# docker secret ls
ID             NAME        DRIVER       CREATED       UPDATED
texcct9ojqcz6n40woe97dd7k  mysql-pass               6 minutes ago    6 minutes ago
hrtmn5yr3r3k66o39ba91r2e4  mysql-pass2               5 seconds ago    5 seconds ago

這種方式還是很簡單的就創(chuàng)建成功了

（二）其它操作

那么secret還有什么其它操作嗎？

[root@centos-7 ~]# docker secret --help

Usage:  docker secret COMMAND

Manage Docker secrets

Commands:
 create   Create a secret from a file or STDIN as content
 inspect   Display detailed information on one or more secrets
 ls     List secrets
 rm     Remove one or more secrets

Run 'docker secret COMMAND --help' for more information on a command.

可以看到除了create命令外，還有inspect、ls、以及rm命令。

1、inspect

[root@centos-7 ~]# docker secret inspect mysql-pass2
[
  {
    "ID": "hrtmn5yr3r3k66o39ba91r2e4",
    "Version": {
      "Index": 4061
    },
    "CreatedAt": "2020-02-07T08:39:25.630341396Z",
    "UpdatedAt": "2020-02-07T08:39:25.630341396Z",
    "Spec": {
      "Name": "mysql-pass2",
      "Labels": {}
    }
  }
]

展示secret的一些詳情信息

2、rm

[root@centos-7 ~]# docker secret rm mysql-pass2
mysql-pass2
[root@centos-7 ~]# docker secret ls
ID             NAME        DRIVER       CREATED       UPDATED
texcct9ojqcz6n40woe97dd7k  mysql-pass               12 minutes ago   12 minutes ago

刪除一個secret

（三）Secret在單容器中的使用

1、容器中查看secret

我們創(chuàng)建了一個secret，如何在啟動一個服務后，將其授權給特定的服務然后它才可以看到呢？先看看創(chuàng)建服務的命令中是否有類似的命令或者參數(shù)：

[root@centos-7 ~]# docker service create --help

Usage:  docker service create [OPTIONS] IMAGE [COMMAND] [ARG...]

Create a new service

Options:
   --config config           Specify configurations to expose to the service
...
 --secret secret           Specify secrets to expose to the service
...
...

確實是有這樣的命令，在創(chuàng)建服務時可以給服務暴露出secret。

2、創(chuàng)建服務

[root@centos-7 ~]# docker service create --name demo --secret mysql-pass busybox sh -c "while true; do sleep 3600; done"
zwgk5w0rpf17hn77axz6cn8di
overall progress: 1 out of 1 tasks 
1/1: running  
verify: Service converged

查看這個服務運行在那個節(jié)點上：

[root@centos-7 ~]# docker service ls
ID         NAME      MODE        REPLICAS      IMAGE        PORTS
zwgk5w0rpf17    demo      replicated     1/1         busybox:latest   
[root@centos-7 ~]# docker service ps demo
ID         NAME      IMAGE  NODE     DESIRED STATE    CURRENT STATE   ERROR PORTS
yvr9lwvg8oca    demo.1    busybox:latest   localhost.localdomain  Running  Running 51 seconds ago

可以看到這個服務運行在localhost.localdomain主機的節(jié)點上，我們去這個節(jié)點上進入到容器內部，看是否能查看secret：

[root@localhost ~]# docker ps
CONTAINER ID  IMAGE        COMMAND      CREATED       STATUS  PORTS        NAMES
36573adf21f6 busybox:latest  "sh -c 'while true; …"4 minutes ago  Up 4 minutes demo.1.yvr9lwvg8ocatym20hdfublhd
[root@localhost ~]# docker exec -it 36573adf21f6 /bin/sh
/ # ls
bin  dev  etc  home proc root run  sys  tmp  usr  var
/ # cd /run/secrets
/run/secrets # ls
mysql-pass
/run/secrets # cat mysql-pass 
root
/run/secrets #

可以看到確實是可行的。

2、mysql服務

關于mysql鏡像，詳情查看https://hub.docker.com/_/mysql其中有關于secret的描述：

　　作為通過環(huán)境變量傳遞敏感信息的替代方法，_FILE可以將其附加到先前列出的環(huán)境變量中，從而使初始化腳本從容器中存在的文件中加載那些變量的值。特別是，這可用于從/run/secrets/<secret_name>文件中存儲的Docker Secret加載密碼。例如：

$ docker run --name some-mysql -e MYSQL_ROOT_PASSWORD_FILE=/run/secrets/mysql-root -d mysql:tag

目前，這僅支持MYSQL_ROOT_PASSWORD，MYSQL_ROOT_HOST，MYSQL_DATABASE，MYSQL_USER，和MYSQL_PASSWORD。

所以我們需要先創(chuàng)建一個文件secret用于存儲數(shù)據(jù)庫的敏感信息，因為之前已經創(chuàng)建過，這里無需再創(chuàng)建：

[root@centos-7 ~]# docker secret ls
ID             NAME        DRIVER     CREATED       UPDATED
texcct9ojqcz6n40woe97dd7k  mysql-pass             4 hours ago     4 hours ago

啟動mysql服務：

[root@centos-7 ~]# docker service create --name db --secret mysql-pass -e MYSQL_ROOT_PASSWORD_FILE=/run/secrets/mysql-pass mysql
sbpagzqvpwt8ifymavf8o5xmi
overall progress: 1 out of 1 tasks 
1/1: running  
verify: Service converged

查看mysql服務在那個節(jié)點上：

[root@centos-7 ~]# docker service ls
ID         NAME        MODE        REPLICAS      IMAGE        PORTS
sbpagzqvpwt8    db         replicated     0/1         mysql:latest    
[root@centos-7 ~]# docker service ps db
ID      NAME    IMAGE     NODE         DESIRED STATE CURRENT STATE ERROR  PORTS
qlmfm6u7lg8u  db.1  mysql:latest  localhost.localdomain  Running Starting 2 seconds ago

在worker節(jié)點中進入該服務的容器中查看secret：

[root@localhost ~]# docker ps
CONTAINER ID  IMAGE        COMMAND         CREATED       STATUS       PORTS         NAMES
2ac2a810e931 mysql:latest "docker-entrypoint.s…" 3 minutes ago Up 2 minutes 3306/tcp, 33060/tcp db.1.qlmfm6u7lg8u8i1v2m2c3ls3r

[root@localhost ~]# docker exec -it 2ac2a810e931 /bin/sh
# cd /run/secrets/
# ls
mysql-pass
# cat mysql-pass
root

這樣知道了密碼就可以進入到mysql數(shù)據(jù)庫中了。

# mysql -uroot -p
Enter password: 
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 9
Server version: 8.0.19 MySQL Community Server - GPL

Copyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

（四）Secret在Stack中的使用

Stack利用的就是docker-compose.yml文件來部署stack，那么如何在docker-compose.yml中來定義secret呢？

version: '3'

services:

 web:
  image: wordpress
  ports:
   - 8080:80
  secrets:
   - my-pw
  environment:
   WORDPRESS_DB_HOST: mysql
   WORDPRESS_DB_PASSWORD_FILE: /run/secrets/wordpress-pass
  networks:
   - my-network
  depends_on:
   - mysql
  deploy:
   mode: replicated
   replicas: 3
   restart_policy:
    condition: on-failure
    delay: 5s
    max_attempts: 3
   update_config:
    parallelism: 1
    delay: 10s

 mysql:
  image: mysql
  secrets:
   - my-pw
  environment:
   MYSQL_ROOT_PASSWORD_FILE: /run/secrets/mysql-pass
   MYSQL_DATABASE: wordpress
  volumes:
   - mysql-data:/var/lib/mysql
  networks:
   - my-network
  deploy:
   mode: global
   placement:
    constraints:
     - node.role == manager

volumes:
 mysql-data:

networks:
 my-network:
  driver: overlay

上面通過在environment中定義WORDPRESS_DB_PASSWORD_FILE以及MYSQL_ROOT_PASSWORD_FILE來制定secret，顯然我們在運行這個docker-compose.yml文件之前必須先要進行對應的secret文件的創(chuàng)建。然后就可以通過docker stack deploy命令來部署這個stack了。

到此這篇關于Docker Secret的管理和使用詳解的文章就介紹到這了,更多相關Docker Secret內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

使用docker compose一鍵部署多個服務的方法
docker compose 是 docker 官方的開源項目,用來實現(xiàn)對 docker 容器集群的快速編排,通過docker-compose可以一鍵創(chuàng)建和刪除多個容器 ,本文給大家介紹的非常詳細,感興趣的朋友一起看看吧
2024-01-01
docker部署lnmp-wordpress的實現(xiàn)步驟
本文主要介紹了docker部署lnmp-wordpress的實現(xiàn)步驟，文中通過示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2021-09-09
Docker容器中數(shù)據(jù)卷volumes的使用
volume（卷）用來存儲docker持久化的數(shù)據(jù),其實就是一個主機上的一個目錄,由docker統(tǒng)一管理,下面這篇文章主要給大家介紹了關于Docker容器中數(shù)據(jù)卷volumes使用的相關資料,需要的朋友可以參考下
2022-04-04
Docker存儲空間清理以及另外的一些命令
大家在使用一段時間的docker容器后,會發(fā)現(xiàn)堆疊了很多無用的垃圾文件,比如,終止的容器、限定不要的鏡像,混亂的存儲等,這篇文章主要介紹了Docker存儲空間清理以及另外的一些命令的相關資料,需要的朋友可以參考下
2024-03-03
基于docker的caffe環(huán)境搭建方法
這篇文章主要介紹了基于docker的caffe環(huán)境搭建方法，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2018-06-06
Docker制作鏡像的兩種實現(xiàn)方式
本文主要介紹了Docker制作鏡像的兩種實現(xiàn)方式，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2023-07-07
詳解基于Harbor搭建Docker私有鏡像倉庫
這篇文章主要介紹了詳解基于Harbor搭建Docker私有鏡像倉庫，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2017-12-12
Docker容器中的OpenCV如何輕松構建可移植的計算機視覺環(huán)境
計算機視覺是一門涉及圖像和視頻處理的領域,可以應用于目標檢測、圖像識別、人臉識別等各種任務,本文給大家介紹Docker容器中的OpenCV如何輕松構建可移植的計算機視覺環(huán)境,感興趣的朋友一起看看吧
2023-12-12
什么是Docker? Docker入門教程
本文主要涉及Docker的基礎知識：Docker的概述、docker容器以及如何安裝使用Docker。希望大家能夠喜歡
2017-03-03
Docker 部署單機版 Pulsar 和集群架構 Redis(開發(fā)神器)的方法
這篇文章主要介紹了Docker 部署單機版 Pulsar 和集群架構 Redis(開發(fā)神器)的相關知識，本文給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2020-10-10