问题标签 [docker-secrets]

我一直在为这个概念而苦苦挣扎。首先，我是 docker 新手，并且自学（慢慢地）。我正在使用一个 docker swarm 实例，并尝试利用 docker secrets 获取一个简单的用户名和密码，以访问现有的 rocker/rstudio 图像。我已经设置了反向代理，并且可以通过我的浏览器成功使用 https 访问 R studio。现在，当我将路径 /run/secrets/user 和 /run/secrets/pass 中的变量传递给环境变量时，它不起作用。它本质上认为路径是实际的用户名和密码。我需要环境变量来实际提取值（在这种情况下 user=test, pass=test123 使用 docker secret 命令设置）。我环顾四周，对如何做到这一点有些茫然。我知道有些人提到了利用自定义入口点 shell 脚本，我' 马有点困惑如何做到这一点。这是我尝试过的

1. 使用现有的 r 图像和一个将 entrypoint.sh 添加到图像的 dockerfile 重建一个全新的图像 -> 它找不到 entrypoint.sh 文档
2. 添加 entrypoint: entrypoint.sh 作为我的 docker compose 的一部分。同样的问题。

我正在尝试使用 docker stack 来构建容器。堆栈已构建，但容器不断重新启动，直至无法使用。

这是我的文件

Dockerfile

这是我的 docker-compose.yaml

最后是我在另一个线程上找到的 entry.sh 文件

最后，使用我的秘密用户并将其传递给环境变量会很棒，这样我就可以在 R Studio 实例中进行身份验证。如果我只是在环境下以纯文本形式输入用户名和密码，它就可以正常工作。

任何帮助表示赞赏。提前致谢

我正在使用 docker 上下文使用 3.8 docker-compose.yml 文件将应用程序（3 个容器 ... web/postgres/nginx）从 Windows 10 部署到远程 Ubuntu 20.04 服务器。远程上下文是 moby 类型，端点是 ssh://swright@xxx.xxxxxx.xxx。编排器是群，但我还没有实现。

在我添加秘密之前，一切都运行良好。现在无法创建 Web 容器，因为它说我的挂载路径无效（'C:/run/secrets/secret_key.txt' 挂载路径必须是绝对的）。

它正在 C: 上寻找秘密文件告诉我它正在尝试挂载本地 Windows 文件，而它应该挂载我在遥控器上创建的 /run/secrets/secret_key.txt 文件。

我相信我已经完成了docker 文档中关于机密的描述。docker中是否存在秘密不尊重我所在的上下文的错误？还是我做错了什么？

这是我的 yml 文件。

无论我使用什么上下文（本地或远程），docker-compose config 都会返回这个。

我正在打包一个 Python 应用程序以在 Kubernetes 集群中使用。在代码库中存在此方法：

我正在尝试保护用户名、密码和 URL 字段，以便它们在 src 代码中不可见。为此，我计划使用秘密。

URL https://kubernetes.io/docs/tasks/configmap-secret/managing-secret-using-kubectl/详细说明了如何创建密钥。但我不确定如何从 Python 应用程序中读取秘密。

我的应用程序的 .Dockerfile：

在 swarm 中阅读Python 烧瓶应用程序对 docker 机密的访问详细说明了 docker-compose 文件中机密的使用，Kubernetes 是否也需要这样做？为了从 Python src 代码文件中读取秘密参数，涉及哪些步骤？

我是 Kubernetes 和 Helm 的新手。我按照这条线在 Kubernetes（在 GCP 上）上部署了一个 jupyterhub pod

https://zero-to-jupyterhub.readthedocs.io/en/stable/jupyterhub/installation.html

• 首先，我设法通过简单的配置使其与 GCS 交互，我目前正在为每个用户上传 keyfile.json 并使用环境变量 GOOGLE_APPLICATION_CREDENTIALS。

• 我想在 values.yaml 中将密钥文件作为秘密挂载。我怎么能那样做？基本上，我想摆脱为每个用户手动上传文件，并通过 yaml 文件自动挂载它。

谢谢

在使用 Docker Buildkit（导出 DOCKER_BUILDKIT=1）构建 Docker 映像时，这两个命令之间的机密安全性是否有任何区别。

使用或不使用缓存

命令取自：https ://docs.docker.com/develop/develop-images/build_enhancements/

我正在尝试在 docker 容器中部署我的 PHP 应用程序。使用 docker secret 我想存储 MySQL 数据库的密码。首先，我创建了一个 docker secret mysql_password。我的 docker-compose 文件是 -

• 当我尝试访问秘密“mysql_password”时，没有返回任何内容。如果我尝试环境元素“MYSQL_PASSWORD_FILE”，它会给我一个秘密路径，即“/run/secrets/mysql_password”。
• 要访问 PHP 中的环境变量，我使用了 .$_ENV["mysql_password"]

我想在 github 操作中的 docker build 中设置 gcloud sdk。因此我需要将 service-account.json 传递给 dockerfile。

我知道我可以将构建参数传递给 dockerfile，当然我可以在这里传递一个 Github 机密。但现在我听说了 Docker 机密，它阻止在 docker 日志中读取机密。真的必须为秘密提供路径吗？我不想将秘密保存在存储库中，我更愿意使用 github 秘密。

那么有什么想法可以将 gh 操作中的 github 秘密传递给 dockerfile 进行构建的最佳和最安全的方法是什么？

我有一个 Docker 映像，它通过以下方式使用凭证文件作为机密：

我的意图是稍后使用

如果我更改凭据文件的读取权限，这将完美无缺

root但是，当是唯一具有读取权限的用户时，它将失败。我想知道除了在构建图像之前和之后更改权限之外，是否有更简洁的方法来执行此操作。

我正在使用.NET Core 3.1和 Docker 机密来存储敏感的配置数据。我正在使用AddKeyPerFile扩展方法告诉 .NET Core 从文件系统上的文件中加载键值对。我想设置directoryPath这些文件的位置并IgnoreCondition忽略特定文件。但是，KeyPerFileConfigurationBuilderExtensions只包含以下两种方法：

...并KeyPerFileConfigurationSource包含以下属性：

这是我目前拥有的代码：

如何同时设置directoryPath AND IgnoreCondition？

我们正在使用 Docker swarm 来部署服务。我们想使用 Docker swarm secrets 来存储敏感数据（证书密码）。是否可以在docker-compose.yml文件中使用 Docker 机密值？Docker 客户端版本是20.10.6，Docker 引擎版本是19.03.12.

首先，我们在主机上创建秘密：

码头工人-compose.yml

我们部署堆栈：

我们如何CertificatePassword在docker-compose.yml(at ASPNETCORE_Kestrel__Certificates__Default__Password) 中使用 Docker 机密的值？