Docker Secrets通過單獨存儲秘密並在運行時注入秘密來提供一種安全的方法來管理Docker環(huán)境中的敏感數(shù)據(jù)。它們是Docker群模式的一部分，必須在這種情況下使用。要有效地使用它們，請首先使用Docker Secret Create創(chuàng)建一個秘密，然後在您的服務(wù)配置中引用它，以便將其安裝在/Run/Secrets/。最佳實踐包括存儲秘密外部代碼，定期旋轉(zhuǎn)它們，限制訪問權(quán)限以及避免敏感數(shù)據(jù)的環(huán)境變量。常見的陷阱包括使用秘密而無需啟用群模式或假設(shè)它們在靜止狀態(tài)進行加密，除非使用Docker Enterprise Edition。對於較大的設(shè)置，請考慮使用Hashicorp Vault或Kubernetes Secrets等工具。

在處理Docker環(huán)境中的密碼，API鍵或證書之類的敏感數(shù)據(jù)時，您需要一種安全的方法來存儲和訪問它們。 Docker Secrets是一種專門為此目的而設(shè)計的內(nèi)置解決方案。

這是有效，安全地使用Docker Secrets的方法。

什麼是Docker Secret，為什麼要使用它們？

Docker Secrets是在Docker服務(wù)中管理敏感信息的安全方法。它們是Docker Swarm模式的一部分，即使您只是在使用單個節(jié)點，也只能在群體模式下運行時可用。

與其將憑據(jù)將憑據(jù)將憑證或環(huán)境變量（可以在日誌或源代碼中曝光的環(huán)境變量）分開存儲並在運行時直接注入容器中。這可以最大程度地減少意外暴露的風險。

如何創(chuàng)建和使用Docker Secrets

創(chuàng)建和使用秘密涉及一些簡單的步驟：

• 創(chuàng)建一個秘密
  您可以從文件或直接從命令行字符串創(chuàng)建一個秘密：

  迴聲“ mySecretPassword” | Docker Secret創(chuàng)建DB_Password-

• 在服務(wù)中使用秘密
  部署服務(wù)時，請參考秘密，以便在容器中可用：

  服務(wù)：
    DB：
      圖像：Postgres
      秘密：
        -DB_Password

• 訪問容器內(nèi)部的秘密
  默認情況下，秘密安裝在/run/secrets/默認情況下。例如，上述秘密將在/run/secrets/db_password上找到。

此設(shè)置可確保您的敏感數(shù)據(jù)從配置文件和日誌中停留。

管理Docker Secrets的最佳實踐

為了充分利用Docker秘密，請遵循以下提示：

• 在應(yīng)用程序代碼外存放秘密
  切勿在Docker組合文件或源代碼存儲庫中包含敏感值。

• 定期旋轉(zhuǎn)秘密
  如果秘密被妥協(xié)，請刪除並重新創(chuàng)建它，然後重新啟動受影響的服務(wù)。

• 限制訪問
  確保只有必要的服務(wù)才能訪問特定的秘密。

• 使用Hashicorp Vault或Kubernetes Secrets諸如大型設(shè)置的工具
  Docker Secrets可以很好地適合小型部署，但可能無法清晰地縮放企業(yè)級別的需求。

另外，請務(wù)必記住：秘密一旦創(chuàng)建就不可能。如果您需要更改一個，則必須刪除並重新創(chuàng)建它。

避免的常見陷阱

人們用Docker秘密犯的一些常見錯誤：

• 嘗試使用它們而不啟用群模式
  Docker Secrets要求首先運行docker swarm init 。

• 假設(shè)秘密在休息時被加密
  儘管它們安全地存儲了，但Docker不會在磁盤上加密它們，除非您使用帶有其他安全層的Docker Enterprise Edition。

• 使用env變量而不是秘密
  環(huán)境變量可以洩漏到日誌中或通過調(diào)試工具暴露。始終更喜歡秘密而不是env vars而言，而不是敏感數(shù)據(jù)。

這基本上就是Docker Secrets的工作方式。它並不復(fù)雜，但確實需要注意細節(jié)，尤其是在旋轉(zhuǎn)和訪問控制周圍。

以上是您如何使用Docker Secrets管理敏感數(shù)據(jù)？的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！