Как безопасно хранить enviroment переменные в docker?

Question

[diyops]

Добрый вечер, скажу сразу я начинающий, изучаю на данный момент докер. Когда пишу docker-compose файл , иногда есть потребность указать юзера/пароль(к примеру рутовый юзер/пароль mysql). Заливать в открытом виде такой файл например на гитхаб, максильмано не безопасно. Отсюда вопрос, как(или где) хранить такие переменные и как их передавать в docker-compose файл? Есть ли какой то механизм как ansible vault в ansible?

Answer 1

[Vitaly Karasik]

Проще всего (нет необходимости ничего устанавливать) - использовать GitHub Secrets.

Comments

[diyops]

Спасибо за ответ. Согласен, это проще всего, но хочется узнать что всё таки можно назвать best practice для этого? Тот же hashicorp vault, из комментария выше, звучит неплохо.

[Vitaly Karasik]

diyops, На мой взгляд - да. GitHub Secrets обеспечивают все необходимое.
Hashicorp Vault (или AWS KMS, Akeyless и т.д.) дает больше, но ИМХО если мы говорим просто про вставить секреты в docker, а не про необходимость их получать в runtime, достаточно GitHub Secret.

Answer 2

[ky0]

Vault можно использовать и не в ансибле. В вашем случае тоже подойдёт.

Comments

[diyops]

Спасибо, буду изучать.

[chupasaurus]

Вы про другой Vault, который от Hashicorp. Но, в общем случае лучше системы из API и клиента-генератора окружения в образе ничего не придумали, да.