如何在docker镜像中处理特定于阶段的密钥库

时间:2016-06-24 18:18:52

标签: docker keystore

我的情况是多个阶段不同的证书进行加密。作为最佳实践,docker容器在阶段之间是不可变的,并且仅通过环境变量进行参数化。这将允许使用阶段特定的密钥库密码,但不允许在映像中放置新证书。

我想到了以下选项:

  • 特定于舞台的docker image / build
  • 在容器启动时通过网络加载密钥库(将url和密码作为环境变量)
  • docker数据卷上的密钥库。

任何人都有这种情况的经验,可以分享他的最佳实践吗?谢谢!

1 个答案:

答案 0 :(得分:2)

  

在容器启动时通过网络加载密钥库(将url和密码作为环境变量)

实际上,为了存储和访问机密(如密码),您可以使用hashicorp/vaultvaultproject.io)设置专用容器。

full tutorial on KataCoda({3}}的Ben Hall(KataCoda的创建者)提到了issue 165,或sjourdan/docker-vault的示例。