docker 中的秘密組成

Question

我的環境是 ubuntu 18.04 VPS。

我無法在 docker 容器中使用 mariadb 獲取基於文件的機密。

1. 創建docker-compose.yml ：

version: '3.7'
services:
  db:
    image: mariadb:10.4.8-bionic
    environment:
      - MYSQL_ROOT_PASSWORD_FILE=/run/secrets/password_root
      - MYSQL_PASSWORD_FILE=/run/secrets/password_user
      - MYSQL_DATABASE=database
      - MYSQL_USER=admin
    secrets:
      - password_root
      - password_user
secrets:
  password_root:
    file: .secret_password_root
  password_user:
    file: .secret_password_user

2. 創建秘密：

echo -n secret > .secret_password_root
echo -n secret > .secret_password_user
chown root:root .secret_password*
chmod 400 .secret_password*

（請注意，我可以設置 444，但這會暴露主機上的機密文件，這是一個非常糟糕的主意。）

3. 跑：

docker-compose up

錯誤：

db_1 | /usr/local/bin/docker-entrypoint.sh：第 37 行：/run/secrets/password_root：權限被拒絕

根據文檔，秘密文件應該掛載為0444 ，但這顯然沒有發生。

Answer 1

顯然，“docker compose” 不支持此功能，僅適用於“docker swarm”。 文檔具有誤導性。

Docker Compose 不支持真實（swarmkit）機密，並通過將文件直接綁定掛載到容器中來模仿它們（這意味着主機上的權限與容器中的權限相同）。

您可以更改主機上文件的所有權以匹配容器中用戶的 uid/gid，但不幸的是，我認為沒有什么可以做的

Answer 2

自docker-compose v2.5.0以來，這現在是可能的。

Dockerfile：

# syntax=docker/dockerfile:1.2

RUN --mount=type=secret,id=mysecret,target=/root/mysecret cat /root/mysecret

docker-compose.yml

services:
  my-app:
    build:
      context: .
      secrets:
        - mysecret

secrets:
  mysecret:
   file: ~/.npmrc

Shell：

$ docker-compose build

Answer 3

要點在這里：

chown root:root .secret_password* # set root as owner
chown 400 .secret_password*       # set `400` as owner

將chown替換為 `chmod：

chown root:root .secret_password*
chmod 400 .secret_password*