本地我一直在使用Nginx容器进行开发,该容器在目录中包含所有ssl配置和ssl证书。
然而,既然我即将转向prod,我很好奇是否在nginx容器中使用证书是好的做法?
或者,我可以直接将证书放在服务器上。
对社区对此的看法感到好奇。
答案 0 :(得分:1)
就个人而言,我永远不会把秘密放在码头图片中。始终在容器启动时安装它们。首选volume安装env_var,因为env_var可由容器内的所有进程访问,并且更有可能被应用记录。
图像应该被认为是可共享的(跨团队/环境......),但是一旦你发送了诸如cert.pem之类的关键秘密,可共享的方面就会变得危险......
此外,通常情况下,团队中的每个开发人员都不需要知道您的产品秘密,但他们可能会访问docker图像。
答案 1 :(得分:1)
您可能想了解如何将敏感数据共享到容器中的Kubernetes Secrets。较新版本的Docker(1.13)具有类似的机制(docker secrets)以与容器共享秘密。