আমার একটি বেস ডকার ইমেজ রয়েছে যা চিত্র বিশ্লেষণ সফ্টওয়্যার চালাতে ব্যবহৃত হয়। চিত্র থেকে তৈরি প্রতিটি ধারকের জন্য, কনফিগারেশন সেটিংসের একটি সেট রয়েছে যার মধ্যে কিছু গোপনীয়তা (এনক্রিপশন কী, গ্রাহক সম্পর্কিত তথ্য ইত্যাদি) যা সফ্টওয়্যার দ্বারা প্রক্রিয়াজাত চিত্রগুলি বিশ্লেষণ এবং বিতরণ করতে ব্যবহৃত হয়। আমি কীভাবে নিরাপদে এই গোপনীয়াগুলি একটি ধারককে দিতে পারি?

ডকার পাত্রে থাকা কোনও অ্যাপে গোপনীয়তা অর্জনের জন্য আপনার কাছে 3 টি পদ্ধতি রয়েছে। প্রথম 2 ডকার কনফিগারেশন জড়িত। সর্বশেষটি হ'ল আপনার অ্যাপ্লিকেশনগুলিতে কোনও গোপন স্টোর থেকে সরাসরি গোপনীয়তা আনতে হবে।

1 - পরিবেশ পরিবর্তনশীল

মতে "12 ফ্যাক্টর অ্যাপ" নির্দেশিকা গোপন নিছক কনফিগ, এবং তারা সবসময় পরিবেশে নির্ধারণ করা উচিত। ডকার চালানোর সময় আপনি আপনার গোপনীয়তাগুলিকে পরিবেশের পরিবর্তনশীল হিসাবে সেট করতে পারেন এবং আপনার অ্যাপটি সেখান থেকে সেগুলিতে অ্যাক্সেস করে।

2 - মাউন্ট ভলিউম

আপনার গোপনীয়তাগুলি একটি নির্দিষ্ট কনফিগারেশন / সিক্রেটস ফাইলের মধ্যে থাকতে পারে, তারপরে এটি একটি মাউন্ট ভলিউম হিসাবে আপনার উদাহরণে মাউন্ট করতে পারেন ।

3 - গোপন স্টোর থেকে আনুন

@ 030 হিসাবে উল্লিখিত হিসাবে, আপনি হ্যাশিকর্প ভল্ট (বা "অ্যামাজন সিক্রেটস ম্যানেজার", বা এর মতো কোনও পরিষেবা) ব্যবহার করতে পারেন।
আপনার অ্যাপ্লিকেশন, বা একটি সিডিকার অ্যাপ্লিকেশন ডকারের ধারকটিতে কোনও কনফিগারেশন না নিয়েই সরাসরি এটির গোপনীয়তা আনতে পারে। এই পদ্ধতিটি আপনাকে ডাইনামিক্যালি তৈরি করা গোপনীয়তা (যেমন সিস্টেমগুলির একটি খুব আকর্ষণীয় বৈশিষ্ট্য) ব্যবহার করার অনুমতি দেয় এবং ফাইল সিস্টেম থেকে গোপনীয়তাগুলি দেখার জন্য বা ডকারের ধারকটির এনভির ভেরিয়েবলগুলি পরীক্ষা না করে চিন্তা না করে।

ব্যক্তিগত মতামত

আমি বিশ্বাস করি এনভ ভেরিয়েবলগুলি চলার উপায়। এটি পরিচালনা করা সহজ, এবং আপনি এখনও হ্যাশিকর্প ভল্টের মতো কোনও গোপন স্টোর থেকে টানতে পারেন, যদি আপনার কাছে সিআই বিল্ড সিস্টেম থাকে তবে বিল্ড চলাকালীন গোপনীয়তাগুলি টানতে এবং সেটেল স্থাপন করার সময় সেগুলি সেট করে। আপনি উভয় দুনিয়ার সেরা এবং আপনার বিকাশকারীদের গোপনীয়তা আনার জন্য অ্যাপ্লিকেশন কোড লেখার প্রয়োজন নেই এমন অতিরিক্ত বেনিফিট পাবেন। ডেভসগুলি তাদের কোড কার্যকারিতাটিতে ফোকাস করা উচিত, এবং পাসওয়ার্ড আনার মতো প্রশাসনিক কাজগুলিতে ডিল না করা।

আপনার অ্যাপ্লিকেশনটির কোডটি নিজস্ব অ্যাপের কার্যকারিতা নিজেই ফোকাস করা উচিত, এবং পাসওয়ার্ড আনার মতো ব্যাকএন্ড কাজগুলি না করে। 12 টি ফ্যাক্টর অ্যাপের মতোই।

সম্পাদনা করুন: বিকাশকারী বনাম সিসএডমিন সাইলো-ইনগের প্রভাব ফেলতে শেষ বাক্যটি পরিবর্তন করা হয়েছে। কার্যগুলি কোনও কোডের দৃষ্টিকোণ থেকে পৃথক হওয়া উচিত, তবে ডিভোপস একই ব্যক্তি উভয়কে মাথায় রেখেই সীমাবদ্ধ নয় about

ব্যক্তিগত মতামত (আপডেট)

পি @ ডির্কের দুর্দান্ত মন্তব্য ( কোনও ডকারের ধারকের কাছে গোপনীয় বিষয়গুলি পাঠানো ), এএনভি ভার্সনের উপর কোনও গোপন স্টোরকে অগ্রাহ্য করার পক্ষে খুব দৃ strong় যুক্তি রয়েছে, সেগুলি ফাঁস না করার কারণে।

কেবল পাইপ ব্যবহার করে অন্য একটি বিকল্প রয়েছে:

docker run -d -i --name $n alpine sh -c 'read A; echo "[$A]"; exec some-server'
docker exec -i $n sh -c 'cat > /proc/1/fd/0' <<< _a_secret_

প্রথমে ডকার ডেমনটি তৈরি করুন -i, কমান্ডটি ইনপুটটির read Aজন্য অপেক্ষা করবে /proc/1/fd/0; তারপরে দ্বিতীয় ডকার কমান্ডটি চালান, স্টিডিন থেকে গোপনীয়তা পড়ুন এবং শেষ হ্যাংিং প্রক্রিয়াতে পুনর্নির্দেশ করুন।