我最近一直在尝试使用 Docker 来构建一些可以使用的服务，而一直困扰我的一件事是将密码放入 Dockerfile 中。我是一名开发人员，因此将密码存储在源代码中感觉就像是一记重拳。这应该是一个问题吗？关于如何处理 Dockerfiles 中的密码，有什么好的约定吗？

最佳答案

这绝对是一个问题。 Dockerfile 通常被检入存储库并与其他人共享。另一种方法是提供任何凭据(用户名、密码、 token 、任何敏感信息)as environment variables at runtime .这可以通过 -e 参数(用于 CLI 上的单个变量)或 --env-file 参数(用于文件中的多个变量)到 docker运行。阅读 this在 docker-compose 中使用环境。

使用 --env-file 绝对是一个更安全的选择，因为如果使用 set -x，这可以防止出现在 ps 或日志中的 secret .

然而，环境变量也不是特别安全。它们通过 docker inspect 可见，因此任何可以运行 docker 命令的用户都可以使用它们。 (当然，任何有权访问主机上的 docker 的用户也是 has root。)

我的首选模式是使用包装脚本作为 ENTRYPOINT 或 CMD。包装器脚本可以在运行时首先将 secret 从外部位置导入到容器中，然后执行应用程序，提供 secret 。其确切机制因您的运行时环境而异。在 AWS 中，您可以使用 IAM 角色的组合，即 Key Management Service和 S3 将加密的 secret 存储在 S3 存储桶中。像 HashiCorp Vault或 credstash是另一种选择。

AFAIK 没有在构建过程中使用敏感数据的最佳模式。事实上，我有一个 SO question关于这个话题。您可以使用docker-squash从图像中删除图层。但是 Docker 中没有用于此目的的 native 功能。

你可能会发现害羞 comments on config in containers有用。

https://stackoverflow.com/questions/22651647/