Add docker secret #285

2017-12-06 13:23:22 +08:00 · 2017-12-06 13:23:22 +08:00 · 79adc251a6
parent 99172ecdad
commit 79adc251a6
2 changed files with 86 additions and 2 deletions
--- a/SUMMARY.md
+++ b/SUMMARY.md
@ -83,8 +83,9 @@
 * [Swarm mode](swarm_mode/README.md)
    * [基本概念](swarm_mode/overview.md)
    * [创建 Swarm 集群](swarm_mode/create.md)
-    * [在 Swarm 集群部署服务](swarm_mode/deploy.md)
-    * [在 Swarm 集群中使用 compose 文件](swarm_mode/stack.md)
+    * [部署服务](swarm_mode/deploy.md)
+    * [使用 compose 文件](swarm_mode/stack.md)
+    * [管理敏感数据](swarm_mode/secret.md)
 * [安全](security/README.md)
    * [内核命名空间](security/kernel_ns.md)
    * [控制组](security/control_group.md)
--- a/swarm_mode/secret.md
+++ b/swarm_mode/secret.md
@ -0,0 +1,83 @@
+## 在 Swarm 集群中管理敏感数据
+
+在动态的、大规模的分布式集群上，管理和分发 `密码`、`证书` 等敏感信息是极其重要的工作。传统的密钥分发方式（如密钥放入镜像中，设置环境变量，volume 动态挂载等）都存在着潜在的巨大的安全风险。
+
+Docker 目前已经提供了 `secrets` 管理功能，用户可以在 Swarm 集群中安全地管理密码、密钥证书等敏感数据，并允许在多个 Docker 容器实例之间共享访问指定的敏感数据。
+
+我们可以用 `docker secret` 命令来管理敏感信息。接下来我们在上面章节中创建好的 Swarm 集群中介绍该命令的使用。
+
+这里我们以在 Swarm 集群中部署 `mysql` 和 `wordpress` 服务为例。
+
+### 创建 secret
+
+我们使用 `docker secret create` 命令以管道符的形式创建 `secret`
+
+```bash
+$ openssl rand -base64 20 | docker secret create mysql_password -
+
+$ openssl rand -base64 20 | docker secret create mysql_root_password -
+```
+
+### 查看 secret
+
+使用 `docker secret ls` 命令来查看 `secret`
+
+```bash
+$ docker secret ls
+
+ID                          NAME                  CREATED             UPDATED
+l1vinzevzhj4goakjap5ya409   mysql_password        41 seconds ago      41 seconds ago
+yvsczlx9votfw3l0nz5rlidig   mysql_root_password   12 seconds ago      12 seconds ago
+```
+
+### 创建 MySQL 服务
+
+创建服务相关命令已经在前边章节进行了介绍，这里直接列出命令。
+
+```bash
+$ docker network create -d overlay mysql_private
+
+$ docker service create \
+     --name mysql \
+     --replicas 1 \
+     --network mysql_private \
+     --mount type=volume,source=mydata,destination=/var/lib/mysql \
+     --secret source=mysql_root_password,target=mysql_root_password \
+     --secret source=mysql_password,target=mysql_password \
+     -e MYSQL_ROOT_PASSWORD_FILE="/run/secrets/mysql_root_password" \
+     -e MYSQL_PASSWORD_FILE="/run/secrets/mysql_password" \
+     -e MYSQL_USER="wordpress" \
+     -e MYSQL_DATABASE="wordpress" \
+     mysql:latest
+```
+
+如果你没有在 `target` 中显式的指定路径时，`secret` 默认通过 `tmpfs` 文件系统挂载到容器的 `/run/secrets` 目录中。
+
+```bash
+$ docker service create \
+     --name wordpress \
+     --replicas 1 \
+     --network mysql_private \
+     --publish target=30000,port=80 \
+     --mount type=volume,source=wpdata,destination=/var/www/html \
+     --secret source=mysql_password,target=wp_db_password,mode=0400 \
+     -e WORDPRESS_DB_USER="wordpress" \
+     -e WORDPRESS_DB_PASSWORD_FILE="/run/secrets/wp_db_password" \
+     -e WORDPRESS_DB_HOST="mysql:3306" \
+     -e WORDPRESS_DB_NAME="wordpress" \
+     wordpress:latest
+```
+
+查看服务
+
+```bash
+$ docker service ls
+
+ID            NAME   MODE        REPLICAS  IMAGE
+wvnh0siktqr3  mysql      replicated  1/1       mysql:latest
+nzt5xzae4n62  wordpress  replicated  1/1       wordpress:latest
+```
+
+现在浏览器访问 `IP:30000`，即可开始 `WordPress` 的安装与使用。
+
+通过以上方法，我们没有像以前通过设置环境变量来设置 MySQL 密码， 而是采用 `docker secret` 来设置密码，防范了密码泄露的风险。