2. 程式人生 > >Secret 的使用場景 - 每天5分鐘玩轉 Docker 容器技術(109)

Secret 的使用場景 - 每天5分鐘玩轉 Docker 容器技術(109)

阿新 發佈:2017-12-22
docker容器教程swarm

我們可以用 secret 管理任何敏感數據。這些敏感數據是容器在運行時需要的,同時我們不又想將這些數據保存到鏡像中。

secret 可用於管理:

  1. 用戶名和密碼。

  2. TLS 證書。

  3. SSH 秘鑰。

  4. 其他小於 500 KB 的數據。

secret 只能在 swarm service 中使用。普通容器想使用 secret,可以將其包裝成副本數為 1 的 service。

這裏我們再舉一個使用 secret 的典型場景。

數據中心有三套 swarm 環境,分別用於開發、測試和生產。對於同一個應用,在不同的環境中使用不同的用戶名密碼。我們可以在三個環境中分別創建 secret,不過使用相同的名字,比如 username

password。應用部署時只需要指定 secret 名字,這樣我們就可以用同一套腳本在不同的環境中部署應用了。

除了敏感數據,secret 當然也可以用於非敏感數據,比如配置文件。不過目前新版本的 Docker 提供了 config 子命令來管理不需要加密的數據。config 與 secret 命令的使用方法完全一致。

Secret 的安全性

當在 swarm 中創建 secret 時,Docker 通過 TLS 連接將加密後的 secret 發送給所以的 manager 節點。

secret 創建後,即使是 swarm manager 也無法查看 secret 的明文數據,只能通過 docker secret inspect

查看 secret 的一般信息。

技術分享圖片

只有當 secret 被指定的 service 使用是,Docker 才會將解密後的 secret 以文件的形式 mount 到容器中,默認的路徑為/run/secrets/<secret_name>。例如在前面 MySQL 的例子中,我們可以在容器中查看 secret。

技術分享圖片

當容器停止運行,Docker 會 unmount secret,並從節點上清除。

下一節我們再通過一個更加綜合例子加深對 Secret 的理解。

技術分享圖片書籍:

1.《每天5分鐘玩轉Docker容器技術》
https://item.jd.com/16936307278.html

2.《每天5分鐘玩轉OpenStack》


https://item.jd.com/12086376.html

技術分享圖片


Secret 的使用場景 - 每天5分鐘玩轉 Docker 容器技術(109)

相關推薦

Secret 的使用場景 - 每天5分鐘 Docker 容器技術109

docker容器教程swarm我們可以用 secret 管理任何敏感數據。這些敏感數據是容器在運行時需要的,同時我們不又想將這些數據保存到鏡像中。secret 可用於管理:用戶名和密碼。TLS 證書。SSH 秘鑰。其他小於 500 KB 的數據。secret 只能在 swarm service 中使用。普通容

none 和 host 網絡的適用場景 - 每天5分鐘 Docker 容器技術31

docker 教程 容器 本章開始討論 Docker 網絡。我們會首先學習 Docker 提供的幾種原生網絡,以及如何創建自定義網絡。然後探討容器之間如何通信,以及容器與外界如何交互。Docker 網絡從覆蓋範圍可分為單個 host 上的容器網絡和跨多個 host 的網絡,本章重點討論前一種。對於

如何使用 Secret?- 每天5分鐘 Docker 容器技術108

docker容器教程swarm我們經常要向容器傳遞敏感信息,最常見的莫過於密碼了。比如:docker run -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql在啟動 MySQL 容器時我們通過環境變量 MYSQL_ROOT_PASSWORD 設置了 MySQL 的管理員

DaemonSet 典型應用場景 - 每天5分鐘 Docker 容器技術129

source leg auto border pre kubectl fault bili opensta Deployment 部署的副本 Pod 會分布在各個 Node 上,每個 Node 都可能運行好幾個副本。DaemonSet 的不同之處在於:每個 Node 上最多

通過案例學習 Secret - 每天5分鐘 Docker 容器技術110

docker swarm 教程 容器 在下面的例子中,我們會部署一個 WordPress 應用,WordPress 是流行的開源博客系統。我們將創建一個 MySQL service,將密碼保存到 secret 中。我們還會創建一個 WordPress service,它將使用 secret 連

查看 Secret - 每天5分鐘 Docker 容器技術156

Kubernetes Docker 容器 教程 可以通過 kubectl get secret 查看存在的 secret。顯示有兩個數據條目,kubectl describe secret 查看條目的 Key:如果還想查看 Value,可以用 kubectl edit secret mysec

環境變量方式使用 Secret - 每天5分鐘 Docker 容器技術158

Kubernetes Docker 容器 教程 通過 Volume 使用 Secret,容器必須從文件讀取數據,會稍顯麻煩,Kubernetes 還支持通過環境變量使用 Secret。Pod 配置文件示例如下:創建 Pod 並讀取 Secret。通過環境變量 SECRET_USERNAME 和

調試 Dockerfile - 每天5分鐘 Docker 容器技術15

top add font tom middle 程序 ria family 是個 包括 Dockerfile 在內的任何腳本和程序都會出錯。有錯並不可怕,但必須有辦法排查,所以本節討論如何 debug Dockerfile。 先回顧一下通過 Dockerfile 構建鏡像

Dockerfile 常用指令 - 每天5分鐘 Docker 容器技術16

依次 官方文檔 構建 bottom str -s 暴露 工作 12px 是時候系統學習 Dockerfile 了。下面列出了 Dockerfile 中最常用的指令,完整列表和說明可參看官方文檔。 FROM指定 base 鏡像。 MAINTAINER設置鏡像的作

RUN vs CMD vs ENTRYPOINT - 每天5分鐘 Docker 容器技術17

docker 教程 容器 RUN、CMD 和 ENTRYPOINT 這三個 Dockerfile 指令看上去很類似很容易混淆。本節將通過實踐詳細討論它們的區別。簡單的說RUN 執行命令並創建新的鏡像層RUN 經常用於安裝軟件包。CMD 設置容器啟動後默認執行的命令及其參數但 CMD 能夠被 doc

使用公共 Registry - 每天5分鐘 Docker 容器技術19

docker 教程 容器 保存和分發鏡像的最直接方法就是使用 Docker Hub。Docker Hub 是 Docker 公司維護的公共 Registry。用戶可以將自己的鏡像保存到 Docker Hub 免費的 repository 中。如果不希望別人訪問自己的鏡像,也可以購買私有 repos

Docker 鏡像小結 - 每天5分鐘 Docker 容器技術21

列表 例如 normal one sys tro docker comm color 本節我們對 Docker 鏡像做個小結。 這一部分我們首先討論了鏡像的分層結構,然後學習了如何構建鏡像,最後實踐使用 Docker Hub 和本地 registry。 下面是鏡像的常用操作

如何運行容器?- 每天5分鐘 Docker 容器技術22

docker 教程 容器 上一章我們學習了如何構建 Docker 鏡像,並通過鏡像運行容器。本章將深入討論容器:學習容器的各種操作,容器各種狀態之間如何轉換,以及實現容器的底層技術。運行容器docker run 是啟動容器的方法。在討論 Dockerfile 時我們已經學習到,可用三種方式指定容器

兩種進入容器的方法 - 每天5分鐘 Docker 容器技術23

工作 技術 啟動進程 gin attach ant while col -c 我們經常需要進到容器裏去做一些工作,比如查看日誌、調試、啟動其他進程等。有兩種方法進入容器:attach 和 exec。 docker attach 通過 docker attach 可以 a

運行容器的最佳實踐 - 每天5分鐘 Docker 容器技術24

oat add vertical poi can size 執行命令 後臺 運行 按用途容器大致可分為兩類:服務類容器和工具類的容器。 1. 服務類容器以 daemon 的形式運行,對外提供服務。比如 web server,數據庫等。通過 -d 以後臺方式啟動這類容器是非常

容器常用操作 - 每天5分鐘 Docker 容器技術25

技術 order position 自動 code lec 資源 add 服務 前面討論了如何運行容器,本節學習容器的其他常用操作。 stop/start/restart 容器 通過 docker stop 可以停止運行的容器。 容器在 docker host 中實際上是

限制容器對內存的使用 - 每天5分鐘 Docker 容器技術27

upload 機制 性能 http tle war pac 啟動 物理內存 一個 docker host 上會運行若幹容器,每個容器都需要 CPU、內存和 IO 資源。對於 KVM,VMware 等虛擬化技術,用戶可以控制分配多少 CPU、內存資源給每個虛擬機。對於容器,D

限制容器對CPU的使用 - 每天5分鐘 Docker 容器技術28

docker 教程 容器 上節學習了如何限制容器對內存的使用,本節我們來看CPU。默認設置下,所有容器可以平等地使用 host CPU 資源並且沒有限制。Docker 可以通過 -c 或 --cpu-shares 設置容器使用 CPU 的權重。如果不指定,默認值為 1024。與內存限額不同,通過

限制容器的 Block IO - 每天5分鐘 Docker 容器技術29

docker 教程 容器 前面學習了如何限制容器對內存和CPU的使用,本節我們來看 Block IO。Block IO 是另一種可以限制容器使用的資源。Block IO 指的是磁盤的讀寫,docker 可通過設置權重、限制 bps 和 iops 的方式控制容器讀寫磁盤的帶寬,下面分別討論。註:目前

實現容器的底層技術 - 每天5分鐘 Docker 容器技術30

docker 教程 容器 為了更好地理解容器的特性,本節我們將討論容器的底層實現技術。cgroup 和 namespace 是最重要的兩種技術。cgroup 實現資源限額, namespace 實現資源隔離。cgroupcgroup 全稱 Control Group。Linux 操作系統通過 cg