Как использовать docker secrets в bash скриптах?

Question

[Фёдор Колов]

Есть best practice по использованию в bash скриптах секреты из докеров?

Видел в разных докерах использование префикса "_FILE" и другие подходы. Хотелось бы узнать, есть ли готовые либы или куски кода, которые можно использовать в платных проектах.

Comments

[Сергей Соколов]

при сборке или в контейнере?

Answer 1

[Alexey Dmitriev]

Best practice - это Vault и другие хранилища секретов.
Минимум - swarm с его docker secrets

Comments

[Фёдор Колов]

Для использования Vault тоже нужны или либы, ставить программы в docker или использовать через curl секреты.

Answer 2

[ky0]

Основной вопрос - как безопасно доставить секрет внутрь контейнера. Внутри - можете хоть в файл его класть, хоть в переменную окружения, при наличии доступа на хост и в контейнер секрет так или иначе может быть прочитан.

Answer 3

[rPman]

Переменные окружения, прописанные прямо в dockerfile или docker-compose.yml
Смонтированный каталог хост машины
Специализированны сервер, их тьма как мелких так и крупных типа vault

Пример самописного, секреты выдаются приложению снаружи (в момент развертывания приложения и при их смене) и хранятся во временных файлах /tmp у самого приложения, для этого в инфраструктуре уже должны быть соответствующие средства контроля перезапуска приложений (например если это docker контейнеры) что бы повторно отправлять секреты и мониторить их, в идеале что бы эти команды (на перезапуск) сама система выдачи секретов и отправляла