Docker Secrets通過(guò)單獨(dú)存儲(chǔ)秘密並在運(yùn)行時(shí)注入秘密來(lái)提供一種安全的方法來(lái)管理Docker環(huán)境中的敏感數(shù)據(jù)。它們是Docker群模式的一部分，必須在這種情況下使用。要有效地使用它們，請(qǐng)首先使用Docker Secret Create創(chuàng)建一個(gè)秘密，然後在您的服務(wù)配置中引用它，以便將其安裝在/Run/Secrets/。最佳實(shí)踐包括存儲(chǔ)秘密外部代碼，定期旋轉(zhuǎn)它們，限制訪問(wèn)權(quán)限以及避免敏感數(shù)據(jù)的環(huán)境變量。常見(jiàn)的陷阱包括使用秘密而無(wú)需啟用群模式或假設(shè)它們?cè)陟o止?fàn)顟B(tài)進(jìn)行加密，除非使用Docker Enterprise Edition。對(duì)於較大的設(shè)置，請(qǐng)考慮使用Hashicorp Vault或Kubernetes Secrets等工具。

在處理Docker環(huán)境中的密碼，API鍵或證書(shū)之類的敏感數(shù)據(jù)時(shí)，您需要一種安全的方法來(lái)存儲(chǔ)和訪問(wèn)它們。 Docker Secrets是一種專門(mén)為此目的而設(shè)計(jì)的內(nèi)置解決方案。

這是有效，安全地使用Docker Secrets的方法。

什麼是Docker Secret，為什麼要使用它們？

Docker Secrets是在Docker服務(wù)中管理敏感信息的安全方法。它們是Docker Swarm模式的一部分，即使您只是在使用單個(gè)節(jié)點(diǎn)，也只能在群體模式下運(yùn)行時(shí)可用。

與其將憑據(jù)將憑據(jù)將憑證或環(huán)境變量（可以在日誌或源代碼中曝光的環(huán)境變量）分開(kāi)存儲(chǔ)並在運(yùn)行時(shí)直接注入容器中。這可以最大程度地減少意外暴露的風(fēng)險(xiǎn)。

如何創(chuàng)建和使用Docker Secrets

創(chuàng)建和使用秘密涉及一些簡(jiǎn)單的步驟：

• 創(chuàng)建一個(gè)秘密
  您可以從文件或直接從命令行字符串創(chuàng)建一個(gè)秘密：

  迴聲“ mySecretPassword” | Docker Secret創(chuàng)建DB_Password-

• 在服務(wù)中使用秘密
  部署服務(wù)時(shí)，請(qǐng)參考秘密，以便在容器中可用：

  服務(wù)：
    DB：
      圖像：Postgres
      秘密：
        -DB_Password

• 訪問(wèn)容器內(nèi)部的秘密
  默認(rèn)情況下，秘密安裝在/run/secrets/默認(rèn)情況下。例如，上述秘密將在/run/secrets/db_password上找到。

此設(shè)置可確保您的敏感數(shù)據(jù)從配置文件和日誌中停留。

管理Docker Secrets的最佳實(shí)踐

為了充分利用Docker秘密，請(qǐng)遵循以下提示：

• 在應(yīng)用程序代碼外存放秘密
  切勿在Docker組合文件或源代碼存儲(chǔ)庫(kù)中包含敏感值。

• 定期旋轉(zhuǎn)秘密
  如果秘密被妥協(xié)，請(qǐng)刪除並重新創(chuàng)建它，然後重新啟動(dòng)受影響的服務(wù)。

• 限制訪問(wèn)
  確保只有必要的服務(wù)才能訪問(wèn)特定的秘密。

• 使用Hashicorp Vault或Kubernetes Secrets諸如大型設(shè)置的工具
  Docker Secrets可以很好地適合小型部署，但可能無(wú)法清晰地縮放企業(yè)級(jí)別的需求。

另外，請(qǐng)務(wù)必記?。好孛芤坏﹦?chuàng)建就不可能。如果您需要更改一個(gè)，則必須刪除並重新創(chuàng)建它。

避免的常見(jiàn)陷阱

人們用Docker秘密犯的一些常見(jiàn)錯(cuò)誤：

• 嘗試使用它們而不啟用群模式
  Docker Secrets要求首先運(yùn)行docker swarm init 。

• 假設(shè)秘密在休息時(shí)被加密
  儘管它們安全地存儲(chǔ)了，但Docker不會(huì)在磁盤(pán)上加密它們，除非您使用帶有其他安全層的Docker Enterprise Edition。

• 使用env變量而不是秘密
  環(huán)境變量可以洩漏到日誌中或通過(guò)調(diào)試工具暴露。始終更喜歡秘密而不是env vars而言，而不是敏感數(shù)據(jù)。

這基本上就是Docker Secrets的工作方式。它並不復(fù)雜，但確實(shí)需要注意細(xì)節(jié)，尤其是在旋轉(zhuǎn)和訪問(wèn)控制周?chē)?/p>

以上是您如何使用Docker Secrets管理敏感數(shù)據(jù)？的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！