如何使用docker-compose v3.1管理机密值?
docker-
compose.yml规范的3.1版引入了对secrets的支持。
我尝试了这个:
version: '3.1'services:
a:
image: tutum/hello-world
secret:
password: the_password
b:
image: tutum/hello-world
$ docker-compose up 返回:
Unsupported config option for services.secret: 'password'
我们如何在实践中使用机密功能?
回答:
您可以阅读官方文档中的相应部分。
要使用机密,您需要在docker-
compose.yml文件中添加两件事。首先,一个secrets:定义所有机密的顶级块。然后,另一个secrets:每个服务下块,它指定 该
秘密服务应该接收。
作为示例,创建Docker将理解的两种类型的秘密: 秘密和 秘密。
1.使用以下命令创建“外部”秘密 docker secret create
第一件事:要在Docker上使用机密,您所在的节点必须是集群的一部分。
$ docker swarm init接下来,创建一个“外部”秘密:
$ echo "This is an external secret" | docker secret create my_external_secret -(请确保在最后加上破折号-。很容易错过。)
2.将另一个秘密写入文件
$ echo "This is a file secret." > my_file_secret.txt3.创建docker-compose.yml同时使用两个秘密的文件
现在已经创建了两种类型的机密,下面是docker-compose.yml将读取这两种机密并将其写入web服务的文件:
version: '3.1'services:
web:
image: nginxdemos/hello
secrets: # secrets block only for 'web' service
- my_external_secret
- my_file_secret
secrets: # top level secrets block
my_external_secret:
external: true
my_file_secret:
file: my_file_secret.txt
Docker可以从自己的数据库(例如使用制成的秘密docker secret create)或文件中读取秘密。上面显示了两个示例。
4.部署测试堆栈
使用以下方法部署堆栈:
$ docker stack deploy --compose-file=docker-compose.yml secret_test这将创建一个web名为的服务实例secret_test_web。
5.验证由服务创建的容器具有两个秘密
使用docker exec -ti [container] /bin/sh验证的秘密存在。
(注意:在下面的docker exec命令中,该m2jgac...部分在您的计算机上将有所不同。运行docker ps以查找您的容器名称。)
$ docker exec -ti secret_test_web.1.m2jgacogzsiaqhgq1z0yrwekd /bin/sh# Now inside secret_test_web; secrets are contained in /run/secrets/
root@secret_test_web:~$ cd /run/secrets/
root@secret_test_web:/run/secrets$ ls
my_external_secret my_file_secret
root@secret_test_web:/run/secrets$ cat my_external_secret
This is an external secret
root@secret_test_web:/run/secrets$ cat my_file_secret
This is a file secret.
如果一切顺利,我们在步骤1和2中创建的两个秘密应该位于web部署堆栈时创建的容器内。
以上是 如何使用docker-compose v3.1管理机密值? 的全部内容, 来源链接: utcz.com/qa/411933.html
