Docker Secrets通過單獨存儲秘密并在運(yùn)行時注入秘密來提供一種安全的方法來管理Docker環(huán)境中的敏感數(shù)據(jù)。它們是Docker群模式的一部分，必須在這種情況下使用。要有效地使用它們，請首先使用Docker Secret Create創(chuàng)建一個秘密，然后在您的服務(wù)配置中引用它，以便將其安裝在/Run/Secrets/。最佳實踐包括存儲秘密外部代碼，定期旋轉(zhuǎn)它們，限制訪問權(quán)限以及避免敏感數(shù)據(jù)的環(huán)境變量。常見的陷阱包括使用秘密而無需啟用群模式或假設(shè)它們在靜止?fàn)顟B(tài)進(jìn)行加密，除非使用Docker Enterprise Edition。對于較大的設(shè)置，請考慮使用Hashicorp Vault或Kubernetes Secrets等工具。

在處理Docker環(huán)境中的密碼，API鍵或證書之類的敏感數(shù)據(jù)時，您需要一種安全的方法來存儲和訪問它們。 Docker Secrets是一種專門為此目的而設(shè)計的內(nèi)置解決方案。

這是有效，安全地使用Docker Secrets的方法。

什么是Docker Secret，為什么要使用它們？

Docker Secrets是在Docker服務(wù)中管理敏感信息的安全方法。它們是Docker Swarm模式的一部分，即使您只是在使用單個節(jié)點，也只能在群體模式下運(yùn)行時可用。

與其將憑據(jù)將憑據(jù)將憑證或環(huán)境變量（可以在日志或源代碼中曝光的環(huán)境變量）分開存儲并在運(yùn)行時直接注入容器中。這可以最大程度地減少意外暴露的風(fēng)險。

如何創(chuàng)建和使用Docker Secrets

創(chuàng)建和使用秘密涉及一些簡單的步驟：

• 創(chuàng)建一個秘密
  您可以從文件或直接從命令行字符串創(chuàng)建一個秘密：

  回聲“ mySecretPassword” | Docker Secret創(chuàng)建DB_Password-

• 在服務(wù)中使用秘密
  部署服務(wù)時，請參考秘密，以便在容器中可用：

  服務(wù)：
    DB：
      圖像：Postgres
      秘密：
        -DB_Password

• 訪問容器內(nèi)部的秘密
  默認(rèn)情況下，秘密安裝在/run/secrets/默認(rèn)情況下。例如，上述秘密將在/run/secrets/db_password上找到。

此設(shè)置可確保您的敏感數(shù)據(jù)從配置文件和日志中停留。

管理Docker Secrets的最佳實踐

為了充分利用Docker秘密，請遵循以下提示：

• 在應(yīng)用程序代碼外存放秘密
  切勿在Docker組合文件或源代碼存儲庫中包含敏感值。

• 定期旋轉(zhuǎn)秘密
  如果秘密被妥協(xié)，請刪除并重新創(chuàng)建它，然后重新啟動受影響的服務(wù)。

• 限制訪問
  確保只有必要的服務(wù)才能訪問特定的秘密。

• 使用Hashicorp Vault或Kubernetes Secrets諸如大型設(shè)置的工具
  Docker Secrets可以很好地適合小型部署，但可能無法清晰地縮放企業(yè)級別的需求。

另外，請務(wù)必記住：秘密一旦創(chuàng)建就不可能。如果您需要更改一個，則必須刪除并重新創(chuàng)建它。

避免的常見陷阱

人們用Docker秘密犯的一些常見錯誤：

• 嘗試使用它們而不啟用群模式
  Docker Secrets要求首先運(yùn)行docker swarm init 。

• 假設(shè)秘密在休息時被加密
  盡管它們安全地存儲了，但Docker不會將它們加密在磁盤上，除非您使用帶有其他安全層的Docker Enterprise Edition。

• 使用env變量而不是秘密
  環(huán)境變量可以泄漏到日志中或通過調(diào)試工具暴露。始終更喜歡秘密而不是env vars而言，而不是敏感數(shù)據(jù)。

這基本上就是Docker Secrets的工作方式。它并不復(fù)雜，但確實需要注意細(xì)節(jié)，尤其是在旋轉(zhuǎn)和訪問控制周圍。

以上是您如何使用Docker Secrets管理敏感數(shù)據(jù)？的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！