问题标签 [azure-container-instances]

本文讨论如何安装秘密卷。

https://docs.microsoft.com/en-us/azure/container-instances/container-instances-volume-secret

使用秘密卷向容器组中的容器提供敏感信息。秘密卷将您的秘密存储在卷内的文件中，容器组中的容器可以访问这些文件。通过将机密存储在机密卷中，您可以避免将 SSH 密钥或数据库凭据等敏感数据添加到应用程序代码中。

但是它没有讨论在创建它（秘密卷）之后如何读出秘密。

下面列出的文章中的相关代码。

看起来任何容器都可以挂载这个特殊的秘密卷。

（通过卷挂载的秘密卷的）（父）容器如何读出秘密？这些秘密不应该是文件持久化的。

更好的说法是，我的应用程序代码如何检索秘密值？

这家伙差点把我带到那里，但没有。:( 他使用命令行读出了秘密。

https://www.c-sharpcorner.com/article/secret-volumes-with-demo-and-empty-volumes-in-azure-container-instances/

所以我对云中的容器比较陌生。

我已经使用Azure 容器实例（例如：https ://xpirit.com/2017/11/12/containers-as-a-service-in-azure/ ）和AKS（例如：https： //docs.microsoft.com/en-us/azure/aks/kubernetes-walkthrough-portal )

来自 On-Premise 世界....示例中丢失的是 IIDentity 的概念。

例如，如果我有一个 Windows 2012 服务器，运行一个 Windows 服务或一个 IIS 托管应用程序，那么就有 IIDentity 的想法。Windows 服务，它将是与运行 Windows 服务相关联的用户.....（通过代码或控制面板/服务中的属性设置）。使用 IIS，它是运行 App-Pool 的用途。

所以我分别读过

服务标识甚至托管服务标识。（例如：https ://anthonychu.ca/post/secrets-aspnet-core-key-vault-msi/ ）

这就是在暗示我。

运行时如何设置“IIdentity”

1. 在“Azure 容器实例”中运行的 dotnetcore 应用程序 ***
2. 在“Azure 容器实例”中运行的 java 应用程序 *****
3. 在“AKS”中运行的 dotnetcore 应用程序 ***
4. 在“AKS”中运行的 java 应用程序 *****

还是我在叫错树？

===================

Docker“图像”如下

• ***“来自微软/aspnetcore:2.0”
• *****“来自 java:8”

我有一个需要传递“--acme-domain =”标志的容器映像（rancher/rancher:latest）。这如何在 Azure Aci 中完成？

我正在尝试使用以下代码使用 azure 容器实例创建 owasp zap 实例：

但是我得到了错误：

容器组“EW-owaspzap”的容器“EW-owaspzap”中的环境变量名称无效。有效的环境变量名称必须以字母字符或“ ”开头，后跟一串字母数字字符或“ ”（例如“my_name”、“MY_NAME”或“MyName”）

根据这个https://github.com/zaproxy/zaproxy/wiki/Docker我有正确的环境变量格式。还有什么我错过的吗？

Azure 容器实例的行为与本地 Docker 容器不同。通过秘密标识符从 Azure Key Vault 获取秘密时，我收到：

Unhandled Exception: System.AggregateException: One or more errors occurred. (An error occurred while sending the request.) ---> System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.Http.WinHttpException: The server name or address could not be resolved

但是，当在本地运行时，这不会发生，而是能够毫无问题地获取秘密。

我正在尝试在 ACI ( https://github.com/kylemanna/docker-openvpn ) 中使用这个 OpenVPN 映像。作为其中的一部分，它尝试设置 iptables 并失败。

+ setupIptablesAndRouting + iptables -t nat -C POSTROUTING -s 192.168.255.0/24 -o eth0 -j MASQUERADE iptables v1.6.2: can't initialize iptables table 'nat': Permission denied (you must be root) Perhaps iptables or your kernel needs to be upgraded. + iptables -t nat -A POSTROUTING -s 192.168.255.0/24 -o eth0 -j MASQUERADE iptables v1.6.2: can't initialize iptables table 'nat': Permission denied (you must be root) Perhaps iptables or your kernel needs to be upgraded.

这可能是因为 docker 镜像--cap-add=NET_ADMIN用于在 Docker 中正常运行。有没有办法在 ACI 中执行此操作（或以更高权限运行该 iptables 命令）？

我有一个在 ACI 中运行的 Web 服务，需要一种方法来确定客户端 IP 地址。似乎在实例前面有一个代理，因为所有连接都来自 10. 。.*.

请求中似乎没有 X-Forwarded-For 标头，因此我不知道如何确定客户端 IP。

我有一个默认为端口的图像，似乎没有在图像中公开它的选项。

如果需要，能否公开监听端口并通过容器实例将其绑定到不同的端口？

例如：

监听 8099 -> 443（HTTPS 流量）？

如何从批处理文件更新正在运行的容器实例的映像，并保持所有其他容器设置（如环境变量、端口等）不变？

根据这个文档https://docs.microsoft.com/en-us/azure/container-instances/container-instances-update我应该使用az container create. 我试过了，但为了只更改图像，我还需要提供有关容器的所有信息，否则它将重置为默认值。在这种情况下，它似乎毫无用处。

另一种选择是使用接受格式配置az container create的-f文件参数。yaml如果我更进一步，我什至可以读取当前容器配置并使用az contaner export命令将其存储在文件中。然后不知何故，我需要用image新的属性值替换旧的属性值并运行az container create.

还有其他更简单的选择如何实现？

我在这方面挣扎的时间比我应该做的要长得多，我相信我一定是在艰难地做某事。

基本上我想做的就是在 azure 中运行一个 docker 镜像（eos-dev 区块链镜像）。我已经完成并创建了容器注册表，启用了管理控制并使用以下方法创建了容器：

现在，如果这是一个本地 docker 实例 id 就可以运行：

我会得到这个：

现在，我正在尝试在远程 azure 容器上执行此操作，如下所示：

但它什么也没返回，我不知道它是否做了任何事情。我在这里想念什么？