4

我在 docker swarm 堆栈上运行一个 spring boot 应用程序,并且想将 docker secrets 用于令牌秘密、api 密钥等......创建秘密并使它们在我正在运行的 docker 容器中可用是没有问题的以下撰写文件:

version: "3.7"
services:
  app:
    image: myimage
    environment:
      tokenSecret: /run/secrets/tokenSecret
      apiKey: /run/secrets/apiKey
    secrets:
      - tokenSecret
      - apiKey

  frontend:
    .....

  db:
    .....

secrets:
  tokenSecret:
    external: true
  apiKey:
    external: true

秘密是由printf some_secret | docker secret create tokenSecret -

在使用 docker secrets 之前,我将属性存储在我的application.properties文件中:

tokenSecret: some_secret
apiKey: some_key

并可以通过以下方式访问它们:

@Component
public class AppProperties {

    private Environment environment;

    @Autowired
    public void setEnvironment(Environment environment) {
        this.environment = environment;
    }

    public String getTokenSecret(){
        return environment.getProperty("tokenSecret");
    }

    public String getApiKey(){
        return environment.getProperty("apiKey");
    }
}

现在,使用 docker secrets 并删除 application.properties,getTokenSecretandgetApiKey方法将返回 docker 容器中 secrets 的文件位置:"/run/secrets/tokenSecret"而不是 secret 的内容。将秘密内容从容器文件系统加载到我的应用程序中似乎是一项简单的任务,但我仍然不知道最好的方法是什么。

4

1 回答 1

1

最简单的方法是将自定义 docker-entrypoint.sh 添加到打开文件的 Dockerfile 中。就像是:

#!/bin/sh

export TOKEN_SECRET=${TOKEN_SECRET:=`cat ${TOKEN_SECRET_FILE}`}

java -noverify -XX:TieredStopAtLevel=1 -Djava.security.egd=file:/dev/./urandom -jar app.jar

在堆栈的 docker-compose.yml 中:

version: '3.7'

services:
  serviceName:
    ...
    environment:
      TOKEN_SECRET_FILE: /run/secrets/tokenSecret
    secrets:
      - tokenSecret

secrets:
  tokenSecret:
    external: true

这样,对于开发环境(没有 Swarm),您可以像以前一样简单地将 TOKEN_SECRET 与您的非加密开发机密一起传递

于 2020-03-12T14:55:15.037 回答