我的情况是多个阶段与不同的证书进行加密。作为最佳实践,docker容器在阶段之间是不可变的,并且仅通过环境变量进行参数化。这将允许使用阶段特定的密钥库密码,但不允许在映像中放置新证书。
我想到了以下选项:
任何人都有这种情况的经验,可以分享他的最佳实践吗?谢谢!
答案 0 :(得分:2)
在容器启动时通过网络加载密钥库(将url和密码作为环境变量)
实际上,为了存储和访问机密(如密码),您可以使用hashicorp/vault(vaultproject.io)设置专用容器。
full tutorial on KataCoda({3}}的Ben Hall(KataCoda的创建者)提到了issue 165,或sjourdan/docker-vault的示例。