『中级篇』Docker-Secret管理和使用（51）

之前咱们写的docker-compose.yml里面，里面有mysql的时候有变量MYSQL_ROOT_PASSWORD: root，如果别人拿到了这个文件直接root是不是就暴露了，很不安全，针对这个问题，docker-secret都替咱们解决了。源码：https://github.com/limingios/docker/tree/master/No.5/labs/wordpress

什么secret

• 用户名密码
• SSH Key
• TLS认证
• 任何不想让别人看到的数据

Docker Swarm Mode Architecture

secret在docker中是如何管理的呢？重温一下这个图，docker swarm里面有2个角色Manager 和 Worker，Worker这个节点有个内置的分布式存储，它是基于raft协议，强一致性的，唯一性，可以让manager下面的节点相互之前可以完成同步，manager这个在生产环境下强烈建议是2个manager，如果是一个是单点故障了，Internal分布式存储的它是加密之后放入硬盘的，天然的加密环境，manager和worker节点是通过TLS进行加密的。他们的key都是存在内置节点的分布式数据库节点上，通过加密以后存储在硬盘上的，我想存一些secret可以直接存在manager内置的分布式节点上边，比如一个数据库需要一个密码，我可以给它一个分布式数据库读取的权限。能够访问到这个secret就可以了。

secret management

• 存在swarm manager 节点raft database里面
• secret 可以assign给一个service，这个service就能看到这个secret
• 在container内部secret看起来像文件，但是实际是在内存中

secret 创建

cd labs/secret-example
pwd
#编辑password文件，按照你自己的要求写入密码保存
vi password

docker secret ls
#通过docker secret create 名称 文件名
docker secret create my-pw password
docker secret ls
#管道的方式复制
echo 'adminadmin2' | docker secret create my-pw2 -
docker secret ls

docker secret ls
docker secret rm my-pw2
docker secret ls

service 使用secret

#指定secret的名称
docker service create --name client --secret my-pw busybox sh -c "while true;do sleep 36000;done" 
docker service ls
docker service  ps client
docker container ls 
#进入这个container中
docker exec -it  92fe68ea886d
#进入run/secrets目录
cd /run/secets/
cat my-pw

上边的是传入一个 如果需要传入多个的话，就需要加入 --secret 名称1 --secret 名称2

看看官网的实例

https://hub.docker.com/_/mysql/

通过官网创建mysql看效果

docker service create --name db --secret my-pw -e MYSQL_ROOT_PASSWORD_FILE=/run/secrets/my-pw mysql
docker service ls
#发现运行到work2 上边了，咱们去work2看看
docker service ps db
#在work2上查看容器信息
docker ps

进入work2

docker ps
docker exec -it fceb5ba1cbac sh
cd /run/secrets/
cat my-pw
mysql -u root -p
#输入上边密码adminadmin

stack中的应用

cd labs/secret-example
pwd
#截图看到的，引用了secret的方式，前提是已经通过上边说的docker secret create 创建了对应的密码名称
cat docker-compose.yml

在这个docker-compose最下面有个有三行注释，如果放开的话这是引用了外部密码文件的形式创建docker secret，这种方式虽然省事了，但是有安全隐患，里面多了个passwd文件，最好的方式还是通过docker secret create的方式。

运行方式还是跟之前一样的，只是修改了配置文件。

docker stack deploy wordpress -c=docker-compose.yml

PS：网络现在很发达，密码一定要好好的保存，在公司内部开发安全也是首位，所以本节至关重要！