在 Swarm 集群中管理敏感数据

在动态的、大规模的分布式集群上，管理和分发 密码、证书 等敏感信息是极其重要的工作。传统的密钥分发方式（如密钥放入镜像中，设置环境变量，volume 动态挂载等）都存在着潜在的巨大的安全风险。

Docker 目前已经提供了 secrets 管理功能，用户可以在 Swarm 集群中安全地管理密码、密钥证书等敏感数据，并允许在多个 Docker 容器实例之间共享访问指定的敏感数据。

secret 也可以在 Docker Compose 中使用。

我们可以用 docker secret 命令来管理敏感信息。

这里我们以在 Swarm 集群中部署 mysql 和 wordpress 服务为例。

创建密钥

创建密钥有两种方式

第一种方式:

$ openssl rand -base64 20 | docker secret create mysql_password -
$ openssl rand -base64 20 | docker secret create mysql_root_password -

第二种方式:

echo "my-secret-pw" | docker secret create my_secret_data -

查看密钥

docker@manager1:~$ docker secret ls

ID                          NAME                  DRIVER              CREATED             UPDATED

ovkc9nvnlmgirpnlpg8jegg57   mysql_password                            25 seconds ago      25 seconds ago

k8f82idwld2tr5kv418j28wy2   mysql_root_password                       13 seconds ago      13 seconds ago

查看密钥详细信息：

docker@manager1:~$ docker secret inspect mysql_password

[

    {

        "ID": "ovkc9nvnlmgirpnlpg8jegg57",

        "Version": {

            "Index": 457

        },

        "CreatedAt": "2020-01-13T08:43:14.862704779Z",

        "UpdatedAt": "2020-01-13T08:43:14.862704779Z",

        "Spec": {

            "Name": "mysql_password",

            "Labels": {}

        }

    }

]

创建 MySQL 服务 创建服务相关命令已经在前边章节进行了介绍，这里直接列出命令。

$ docker network create -d overlay mysql_private

$ docker service create \
     --name mysql \
     --replicas 1 \
     --network mysql_private \
     --mount type=volume,source=mydata,destination=/var/lib/mysql \
     --secret source=mysql_root_password,target=mysql_root_password \
     --secret source=mysql_password,target=mysql_password \
     -e MYSQL_ROOT_PASSWORD_FILE="/run/secrets/mysql_root_password" \
     -e MYSQL_PASSWORD_FILE="/run/secrets/mysql_password" \
     -e MYSQL_USER="wordpress" \
     -e MYSQL_DATABASE="wordpress" \
     mysql:latest

如果你没有在 target 中显式的指定路径时，secret 默认通过 tmpfs 文件系统挂载到容器的 run/secrets 目录中。

$ docker service create \
     --name wordpress \
     --replicas 1 \
     --network mysql_private \
     --publish target=30000,port=80 \
     --mount type=volume,source=wpdata,destination=/var/www/html \
     --secret source=mysql_password,target=wp_db_password,mode=0400 \
     -e WORDPRESS_DB_USER="wordpress" \
     -e WORDPRESS_DB_PASSWORD_FILE="/run/secrets/wp_db_password" \
     -e WORDPRESS_DB_HOST="mysql:3306" \
     -e WORDPRESS_DB_NAME="wordpress" \
     wordpress:latest

查看服务

$ docker service ls

ID            NAME   MODE        REPLICAS  IMAGE
wvnh0siktqr3  mysql      replicated  1/1       mysql:latest
nzt5xzae4n62  wordpress  replicated  1/1       wordpress:latest

现在浏览器访问 IP:30000，即可开始 WordPress 的安装与使用。

通过以上方法，我们没有像以前通过设置环境变量来设置 MySQL 密码， 而是采用 docker secret 来设置密码，防范了密码泄露的风险。