[英]Populating Docker containers with sensitive information using kubernetes
我有一個運行容器的容器,需要訪問API密鑰和數據庫密碼等敏感信息。 現在,這些敏感值嵌入在控制器定義中,如下所示:
env:
- name: DB_PASSWORD
value: password
然后在Docker容器中作為$DB_PASSWORD
環境變量提供。 一切都相當容易。
但是,閱讀他們關於Secrets的文檔,他們明確表示將敏感配置值放入您的定義中會違反最佳實踐,並且可能是一個安全問題。 我能想到的唯一其他策略如下:
這似乎相當復雜,但更安全和靈活,因為值不再是靜態的並以明文形式存儲。
所以我的問題,我知道這不是一個完全客觀的問題,這是否完全是必要的? 只有管理員才能首先查看和執行RC定義; 所以,如果有人違反了kubernetes大師,你還有其他問題需要擔心。 我看到的唯一好處是沒有明文提交到文件系統的秘密的危險......
有沒有其他方法以安全的方式使用秘密信息填充Docker容器?
除非你有很多兆字節的配置,否則這個系統聽起來不必要地復雜。 預期用途是讓您將每個配置放入一個秘密,並且需要配置的pod可以將該秘密作為卷安裝。
然后,您可以使用各種機制中的任何一種將該配置傳遞給您的任務,例如,如果它是環境變量source secret/config.sh; ./mybinary
source secret/config.sh; ./mybinary
是一種簡單的方法。
我認為通過將私鑰存儲為秘密,您不會獲得任何額外的安全性。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.