Docker -让我的应用程序使用secrets而不是env。vars
Docker是一种开源的容器化平台,它可以将应用程序及其依赖项打包成一个独立的容器,以便在不同的环境中进行部署和运行。通过使用Docker,开发人员可以将应用程序与其所需的操作系统、库和其他依赖项隔离开来,从而实现更高效、可移植和可扩展的部署。
在传统的应用程序开发中,通常会使用环境变量(env.vars)来存储敏感信息,如数据库密码、API密钥等。然而,这种做法存在一些安全风险,因为环境变量可以在容器启动时被轻松地查看和修改。
为了解决这个问题,Docker提供了一个名为secrets的功能,它允许开发人员将敏感信息以加密的方式存储在Docker Swarm集群中,并在容器中使用。secrets可以包含任何敏感数据,如密码、证书、密钥等。
使用secrets而不是env.vars具有以下优势:
- 安全性:secrets中的敏感信息以加密的方式存储,并且只有授权的容器可以访问它们。这提供了更高的安全性,防止敏感信息泄露。
- 管理性:secrets可以集中管理,而不是分散在各个容器的环境变量中。这样可以更轻松地更新、轮换和撤销敏感信息,而无需重新构建和部署容器。
- 可移植性:使用secrets可以使应用程序更易于在不同的环境中部署,而无需担心敏感信息的安全性。这对于在多个云平台或不同的部署环境中运行应用程序的情况非常有用。
Docker提供了一些与secrets相关的命令和API,以便开发人员可以轻松地创建、管理和使用secrets。在Docker Swarm集群中,可以使用以下命令来创建和使用secrets:
- 创建一个secret:
$ echo "mysecretpassword" | docker secret create my_secret -- 在服务中使用一个secret:
version: '3.9'
services:
myapp:
image: myapp:latest
secrets:
- my_secret
secrets:
my_secret:
external: true在这个例子中,我们创建了一个名为my_secret的secret,并将其应用于名为myapp的服务。在服务中,可以通过文件或环境变量的方式使用这个secret。
腾讯云提供了一系列与容器相关的产品和服务,可以帮助开发人员更好地使用Docker和secrets。其中,腾讯云容器服务(Tencent Kubernetes Engine,TKE)是一个高度可扩展的容器管理平台,支持Docker和Kubernetes。您可以通过以下链接了解更多关于腾讯云容器服务的信息: https://cloud.tencent.com/product/tke
总结:Docker的secrets功能可以让开发人员更安全地存储和使用敏感信息,避免了使用环境变量的安全风险。通过使用secrets,可以提高应用程序的安全性、管理性和可移植性。腾讯云提供了与容器相关的产品和服务,可以帮助开发人员更好地使用Docker和secrets。
相关·内容
我的Django应用程序使用了很多环境变量,总共大约35个。目前,所有这些都是由一个.env文件处理的,该文件是我在开始应用程序堆栈之前编写的。我想我不需要指出这是一种非常不安全的方式,特别是当它是关于生产中的密钥的时候…… 现在我的问题是,我真的不知道如何将.env文件转换为secr
浏览 19提问于2020-08-29得票数 0
回答已采纳
1回答
麋鹿堆中的码头秘密
、、、、
在过去的几天里,我一直在为在码头上设置麋鹿堆而奋斗。我很感谢你的帮助。问题我不再对敏感数据(如密码或API密钥)使用.env文件,而是尝试使用。为了使用它,作者建议将env_secrets_expand.sh脚本文件添加到容器入口点并使用
浏览 10提问于2022-02-19得票数 1
我正在尝试source一个来自/vault/secrets/cloudquery的文件,其中包含如下所示的数据:当我的吊舱启动时,我尝试了大量不同的方法来获取金库机密文件,但是当我将外壳放入吊舱时,我没有看到env变量的设置。有人能指出我做错了什么吗?谢谢你!!
apiVersion: apps
浏览 13提问于2022-07-19得票数 0
回答已采纳
如何使用--privileged从GCP中的容器注册表docker run私有镜像在本地运行很好: docker run -it --privileged --entrypoint /bin/bash这是我的DAG: def process_backup_data(data_to_backup):
secret_file = Secret('volume', '/etc/secrets&#x
浏览 54提问于2021-07-05得票数 1
作为一个没有CS学位的新手,很难将最佳实践与约定与安全风险区分开来。
我在rails应用程序中结合使用secrets.yml和.rbenv-vars,因为这似乎很容易。我知道我可以用像Figaro这样的东西来做同样的事情,但是什么是最好的实践和最安全的呢?对于开发,我只是将我的键放在secrets.yml中,并使用</e
浏览 2提问于2016-05-27得票数 1
回答已采纳
我使用GitHub Actions来触发坞文件的构建,它是将容器上传到GitHub容器注册表。在最后一步中,我将通过SSH连接到我的远程 DigitalOcean液滴,并执行一个脚本到拉和安装,这是来自GHCR的新映像。这个工作流对我很好,因为我只是在项目中构建一个单个容器。现在,我正在使用码头组成,因为我需要NGINX,除了通过API。我想将容器保存在单一的下拉
浏览 4提问于2021-04-09得票数 27
我有一个阿帕玛项目,连接到Kafka经纪人,使用自定义插件。当我们开始Apama项目时,我使用事件( .evt )传递了像broker url这样的配置值。我使用创建项目可部署结构的engine_deploy,并且在启动correlator时,我使用-config标志来运行已部署的代码版本。我想创建Apama项目的Docker镜像,这样我就可以将
浏览 22提问于2019-07-26得票数 0
是否有方法在使用docker/build-push-action@v2时指定多个标记.github/workflows/publish.yml id: docker_builduses: docker/build-push-action@v2
浏览 13提问于2022-01-26得票数 9
回答已采纳
我正在尝试修改一个使用prisma和supabase的特快应用程序,但无法让prisma在构建时设置supabase url。Prisma期望url位于一个名为DATABASE_URL的环境变量中。下面是我在Dockerfile中尝试过的两种不同的方法:# syntax=docker/dockerfile:1.2
WORKDIR /app
浏览 4提问于2022-09-30得票数 0
因此,我想知道容器之间的连接是如何在坞-组合中工作的:我需要在docker-compose.yml中使用links吗?我是否需要在docker-compose.yml中在network中指定一个ip入口,然后在我的应用程序中使用这个ip adress?特别是,如果我想连接到端口中名为containerA的容器A ip -Compose.yml中<
浏览 6提问于2022-06-27得票数 0
回答已采纳
3回答
我希望我的docker-come.yml文件使用与" docker-compose.yml“文件相同的目录中的".env”文件来设置一些环境变量,并且这些变量优先于在shell中设置的任何其他env。现在我有tommyboy$ cat .env
浏览 14提问于2022-07-01得票数 0
我有一个项目,在这个项目中,我使用Docker操作来构建我的映像并将其推送到GitHub注册表。我使用shell脚本进行Docker登录,并收到以下消息: WARNING!See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store 所以现在<em
浏览 120提问于2021-03-29得票数 0
回答已采纳
要在Python中运行pytest,我必须为GitHub运行环境传递一些secrets。例如, run: python -c 'import os;print(os.environ)'基于@raspiduino的回答,我对导入env变量的两个选项做了更多的
浏览 5提问于2021-03-12得票数 0
我使用Codepipeline和Codebuild作为链接到Github推送到主分支的CICD。为任何一项服务构建prod环境的流程目前如下所示:
PR into master docker推送到Github ->触发器Codepipeline ->触发器Codebuild (这里我构建、标记和推送从源代码中的我以前使用过弹性豆茎的环境部分,但是当我有一个多容器的环境时,这如何工作呢?例
浏览 21提问于2021-02-24得票数 1
回答已采纳
当使用带有asp.net核心的接口进行开发时,应该使用用户机密还是环境变量?我使用Visual 2017在添加项目时创建的默认停靠文件,该文件使用microsoft/aspnetcore:1.1,我相信这是一个linux映像。
浏览 9提问于2017-03-11得票数 13
回答已采纳
我有一个多容器应用程序与源代码存储在Github上。本质上,在活动开发中只有一个部分,其他容器要么是稳定的(比如有特殊设置的Nginx ),要么是外部的(比如redis)。我的问题是:我如何使用Github操作来部署到Azure应用服务?
对于单容器应用程序来说,这相当于,而且我已经能够通过一个操作将我的图像推送到容器注册表。但是,我仍然必须转到Azure web
浏览 0提问于2021-11-05得票数 2
我已经构建了一个Django应用程序并使用Nginx对其进行了对接,我还创建了一个GitHub工作流来构建码头映像并将其推送到ghcr.io。现在,我想将坞映像(从ghcr.io)部署到Azure虚拟机(ubuntu)。但我找不到如何将azure VM与GitHub工作流连接起来,并从中执行一些命令。 echo DJANGO_ALLOWED_HOSTS=
浏览 7提问于2022-01-16得票数 0
3回答
我在和码头工人搭设酒瓶。我有两种方法来设置环境变量,一种在烧瓶.cfg文件中,另一种在docker .env文件中。
我想知道哪一种更适合练习。评估利弊时,如果我将环境变量移到停靠.env文件中,则必须在应用程序代码中的所有位置执行os.environ.get,包括处理默认设置,这会带来来自os环境变量的应用程序中的额外依赖。另一方面,在烧瓶配置中添加环境变量(如DB密码、密钥等)
浏览 0提问于2019-04-16得票数 4
回答已采纳
在我构建我的Golang应用程序和将其部署到我的DockerHub存储库之前,我正在尝试使用GitHub秘密创建一个dotenv文件。secrets.SECRET_HOST_DB }} > .env echoNAME_DB=${{ secrets</
浏览 27提问于2021-08-18得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
