• 在 Swarm 集群中管理敏感数据
    • 创建 secret
    • 查看 secret
    • 创建 MySQL 服务

    在 Swarm 集群中管理敏感数据

    在动态的、大规模的分布式集群上,管理和分发 密码证书 等敏感信息是极其重要的工作。传统的密钥分发方式(如密钥放入镜像中,设置环境变量,volume 动态挂载等)都存在着潜在的巨大的安全风险。

    Docker 目前已经提供了 secrets 管理功能,用户可以在 Swarm 集群中安全地管理密码、密钥证书等敏感数据,并允许在多个 Docker 容器实例之间共享访问指定的敏感数据。

    注意: secret 也可以在 Docker Compose 中使用。

    我们可以用 docker secret 命令来管理敏感信息。接下来我们在上面章节中创建好的 Swarm 集群中介绍该命令的使用。

    这里我们以在 Swarm 集群中部署 mysqlwordpress 服务为例。

    创建 secret

    我们使用 docker secret create 命令以管道符的形式创建 secret

    1. $ openssl rand -base64 20 | docker secret create mysql_password -
    3. $ openssl rand -base64 20 | docker secret create mysql_root_password -

    查看 secret

    使用 docker secret ls 命令来查看 secret

    1. $ docker secret ls
    3. ID                          NAME                  CREATED             UPDATED
    4. l1vinzevzhj4goakjap5ya409   mysql_password        41 seconds ago      41 seconds ago
    5. yvsczlx9votfw3l0nz5rlidig   mysql_root_password   12 seconds ago      12 seconds ago

    创建 MySQL 服务

    创建服务相关命令已经在前边章节进行了介绍,这里直接列出命令。

    1. $ docker network create -d overlay mysql_private
    3. $ docker service create \
    4.      --name mysql \
    5.      --replicas 1 \
    6.      --network mysql_private \
    7.      --mount type=volume,source=mydata,destination=/var/lib/mysql \
    8.      --secret source=mysql_root_password,target=mysql_root_password \
    9.      --secret source=mysql_password,target=mysql_password \
    10.      -e MYSQL_ROOT_PASSWORD_FILE="/run/secrets/mysql_root_password" \
    11.      -e MYSQL_PASSWORD_FILE="/run/secrets/mysql_password" \
    12.      -e MYSQL_USER="wordpress" \
    13.      -e MYSQL_DATABASE="wordpress" \
    14.      mysql:latest

    如果你没有在 target 中显式的指定路径时,secret 默认通过 tmpfs 文件系统挂载到容器的 /run/secrets 目录中。

    1. $ docker service create \
    2.      --name wordpress \
    3.      --replicas 1 \
    4.      --network mysql_private \
    5.      --publish target=30000,port=80 \
    6.      --mount type=volume,source=wpdata,destination=/var/www/html \
    7.      --secret source=mysql_password,target=wp_db_password,mode=0400 \
    8.      -e WORDPRESS_DB_USER="wordpress" \
    9.      -e WORDPRESS_DB_PASSWORD_FILE="/run/secrets/wp_db_password" \
    10.      -e WORDPRESS_DB_HOST="mysql:3306" \
    11.      -e WORDPRESS_DB_NAME="wordpress" \
    12.      wordpress:latest

    查看服务

    1. $ docker service ls
    3. ID            NAME   MODE        REPLICAS  IMAGE
    4. wvnh0siktqr3  mysql      replicated  1/1       mysql:latest
    5. nzt5xzae4n62  wordpress  replicated  1/1       wordpress:latest

    现在浏览器访问 IP:30000,即可开始 WordPress 的安装与使用。

    通过以上方法,我们没有像以前通过设置环境变量来设置 MySQL 密码, 而是采用 docker secret 来设置密码,防范了密码泄露的风险。