ডকার এবং পাসওয়ার্ড সুরক্ষিত

আমি সম্প্রতি ডকারের সাথে প্রায়শই খেলার জন্য কিছু পরিষেবা তৈরির বিষয়ে পরীক্ষা নিরীক্ষা করছি এবং একটি জিনিস যা আমাকে আটকে রাখে তা ডকফাইলে পাসওয়ার্ডগুলি রাখে। আমি বিকাশকারী তাই উত্সে পাসওয়ার্ডগুলি সংরক্ষণ করে মুখে এক ঘুষি লাগে। এটি কি উদ্বেগের বিষয় হওয়া উচিত? কীভাবে ডকফিলিলে পাসওয়ার্ডগুলি পরিচালনা করতে কোনও ভাল কনভেনশন রয়েছে?

অবশ্যই এটি উদ্বেগের বিষয়। ডকফায়াইলগুলি সাধারণত সংগ্রহস্থলগুলিতে চেক ইন করা হয় এবং অন্য লোকের সাথে ভাগ করা হয়। বিকল্পটি হ'ল রানটাইমের সময় পরিবেশের ভেরিয়েবল হিসাবে কোনও শংসাপত্র (ব্যবহারকারীর নাম, পাসওয়ার্ড, টোকেন, সংবেদনশীল কিছু) সরবরাহ করা । এর মাধ্যমে সম্ভব -eআর্গুমেন্ট বা (CLI উপর পৃথক Vars জন্য) --env-fileযুক্তি (একটি ফাইলে একাধিক ভেরিয়েবল জন্য) docker run। পড়ুন এই Docker-রচনা সঙ্গে পরিবেশগত ব্যবহার করার জন্য।

ব্যবহার --env-fileকরা অবশ্যই একটি নিরাপদ বিকল্প, কারণ এটি psযদি ব্যবহার করে তবে লগ- ইন বা লগগুলিতে প্রদর্শিত গোপনীয়তা থেকে রক্ষা করে set -x।

তবে এনভ ভার্সগুলিও বিশেষভাবে নিরাপদ নয়। এগুলির মাধ্যমে সেগুলি দৃশ্যমান হয় docker inspect, এবং সেইজন্য এগুলি যে কোনও ব্যবহারকারীর কাছে উপলব্ধ রয়েছে যা dockerকমান্ডগুলি চালাতে পারে। (অবশ্যই অ্যাক্সেস রয়েছে সেই ব্যবহারকারীরর dockerহোস্ট এছাড়াও রুট হয়েছে যাহাই হউক না কেন।)

আমার পছন্দসই প্যাটার্নটি হ'ল একটি মোড়ক স্ক্রিপ্টটি ENTRYPOINTবা হিসাবে ব্যবহার করা CMD। মোড়ক স্ক্রিপ্ট প্রথমে বাহিরের কোনও স্থান থেকে চালকের সময় ধারকটিতে গোপনীয়তা আমদানি করতে পারে, তারপরে এই গোপনীয়তা সরবরাহ করে অ্যাপ্লিকেশনটি কার্যকর করে। এটির যথাযথ যান্ত্রিকতা আপনার রান সময় পরিবেশের উপর নির্ভর করে vary এডাব্লুএস-এ, আপনি এস -3 বালতিতে এনক্রিপ্ট করা গোপনীয়তা সংরক্ষণ করতে আইএএম রোলস, কী পরিচালনা পরিষেবা এবং এস 3 এর সংমিশ্রণটি ব্যবহার করতে পারেন । হাশিকর্প ভল্ট বা ক্রেডিস্ট্যাশের মতো কিছু অন্য বিকল্প।

এএফআইকে বিল্ড প্রক্রিয়াটির অংশ হিসাবে সংবেদনশীল ডেটা ব্যবহারের জন্য সর্বোত্তম প্যাটার্ন নেই। আসলে, এই বিষয়টিতে আমার একটি এসও প্রশ্ন আছে । আপনি কোনও চিত্র থেকে স্তরগুলি সরাতে ডকার-স্কোয়াশ ব্যবহার করতে পারেন । তবে এই উদ্দেশ্যে ডকারে কোনও নেটিভ কার্যকারিতা নেই।

আপনি কনটেইনারগুলিতে কনফিগারেশনে দরকারী মন্তব্যগুলি পেতে পারেন ।

আমাদের দলটি সংগ্রহশালাগুলিতে শংসাপত্র স্থাপন করা এড়িয়ে যায়, এর অর্থ তারা allowedুকতে দেয় না Dockerfile। অ্যাপ্লিকেশনগুলির মধ্যে আমাদের সেরা অনুশীলন হ'ল পরিবেশের ভেরিয়েবলের ক্রেডিট ব্যবহার করা।

আমরা এটি ব্যবহারের জন্য সমাধান docker-compose।

এর মধ্যে docker-compose.yml, আপনি একটি ফাইল নির্দিষ্ট করতে পারেন যাতে ধারকটির জন্য পরিবেশের ভেরিয়েবল রয়েছে:

 env_file:
- .env

এতে যোগ .envকরার বিষয়টি নিশ্চিত করুন .gitignore, তারপরে .envফাইলের মধ্যে শংসাপত্রগুলি যেমন:

SOME_USERNAME=myUser
SOME_PWD_VAR=myPwd

সঞ্চয় করুন .envফাইল স্থানীয়ভাবে বা কোনো নিরাপদ স্থানে যেখানে দলের বাকি এটি দখল করতে পারেন।

দেখুন: https://docs.docker.com/compose/en পরিবেশ- variables/#/ the-env-file

ডকার এখন (সংস্করণ 1.13 বা 17.06 এবং উচ্চতর) গোপন তথ্য পরিচালনার জন্য সমর্থন করে। এখানে একটি ওভারভিউ এবং আরও বিস্তারিত ডকুমেন্টেশন রয়েছে' s

একই বৈশিষ্ট্য বিদ্যমান kubernetes এবং DCOS

আপনি যখনই চিত্রটি ডাউনলোড করতে পারেন ঠিক তেমন ক্রেডিট সম্প্রচার না করে আপনার কোনও ধারককে শংসাপত্র যুক্ত করা উচিত নয়। বিশেষত, করা ADD credsএবং পরে RUN rm credsসুরক্ষিত নয় কারণ একটি মধ্যবর্তী ফাইল সিস্টেম স্তরটিতে ক্রেডিট ফাইল চূড়ান্ত চিত্রে থাকে। ছবিটিতে অ্যাক্সেস থাকা যে কোনও ব্যক্তির পক্ষে এটি বের করা সহজ।

নির্ভরতাগুলি পরীক্ষা করার জন্য আপনার যখন ক্রেডিট প্রয়োজন হয় তখন আপনি যে সাধারণ সমাধানটি দেখেছেন তা হ'ল অন্যটি তৈরির জন্য একটি ধারক ব্যবহার করা। উদাহরণস্বরূপ, সাধারণত আপনার বেস কন্টেইনারটিতে কিছু বিল্ড এনভায়রনমেন্ট থাকে এবং আপনার অ্যাপ্লিকেশন ধারকটি তৈরি করার জন্য আপনাকে সেই অনুরোধ করতে হবে। সুতরাং সহজ সমাধানটি হ'ল আপনার অ্যাপ্লিকেশন উত্স এবং তারপরে RUNবিল্ড কমান্ডগুলি যুক্ত করা। এটিতে আপনার যদি ক্রেডিট প্রয়োজন হয় তবে এটি অনিরাপদ RUN। পরিবর্তে আপনি docker runযা করেন স্থানীয় উত্স ডিরেক্টরিতে আপনার উত্সটি স্থাপন করা হয়, ভলিউম হিসাবে মাউন্ট করা স্থানীয় উত্স ডিরেক্টরি এবং ক্রেডিটগুলি ইঞ্জেকশনযুক্ত বা অন্য ভলিউম হিসাবে মাউন্ট করা সঙ্গে বিল্ড স্টেপ সম্পাদন করতে পাত্রে চালিত (যেমন হিসাবে ) চালান । একবার বিল্ড স্টেপটি সম্পূর্ণ হয়ে গেলে আপনি কেবল ADDস্থানীয় উত্স ডিরেক্টরিটি তৈরি করে আপনার চূড়ান্ত ধারকটি তৈরি করুন যা এখন নির্মিত শিল্পকর্মগুলি অন্তর্ভুক্ত করে।

আমি আশা করছি ডকার এগুলি আরও সহজ করার জন্য কিছু বৈশিষ্ট্য যুক্ত করেছে!

আপডেট: দেখে মনে হচ্ছে পদ্ধতিটি এগিয়ে যাচ্ছে নেস্টেড বিল্ডগুলি। সংক্ষেপে, ডকফাইফিলটি এমন একটি প্রথম পাত্রে বর্ণনা করবে যা রান-টাইম পরিবেশ তৈরিতে ব্যবহৃত হয় এবং তারপরে দ্বিতীয় নেস্টেড কনটেইনার বিল্ড যা সমস্ত টুকরোকে চূড়ান্ত পাত্রে একত্রিত করতে পারে। এইভাবে বিল্ড-টাইম স্টাফগুলি দ্বিতীয় পাত্রে নেই। এটি একটি জাভা অ্যাপ্লিকেশন যেখানে অ্যাপ্লিকেশন তৈরির জন্য আপনার জেডিকে দরকার তবে এটি চালানোর জন্য কেবল জেআরই। বেশ কয়েকটি প্রস্তাবনা আলোচনা হচ্ছে, https://github.com/docker/docker/issues/7115 থেকে শুরু করে বিকল্প প্রস্তাবগুলির জন্য কয়েকটি লিঙ্ক অনুসরণ করা ভাল ।

এনভায়রনমেন্ট ভেরিয়েবল ব্যবহার করার একটি বিকল্প, যা আপনার কাছে প্রচুর পরিমাণে থাকলে অগোছালো হয়ে যেতে পারে, সেটি হল পাত্রে হোস্টের ডিরেক্টরিতে অ্যাক্সেসযোগ্য ডিরেক্টরি তৈরি করার জন্য ভলিউম ব্যবহার করা।

যদি আপনি সেই সমস্ত ফোল্ডারে ফাইল হিসাবে আপনার শংসাপত্রগুলি রাখেন, তবে ধারক ফাইলগুলি পড়তে এবং এটি যেমন ইচ্ছা তেমন ব্যবহার করতে পারে।

উদাহরণ স্বরূপ:

$ echo "secret" > /root/configs/password.txt
$ docker run -v /root/configs:/cfg ...

In the Docker container:

# echo Password is `cat /cfg/password.txt`
Password is secret

অনেক প্রোগ্রাম পৃথক ফাইল থেকে তাদের শংসাপত্রগুলি পড়তে পারে, সুতরাং আপনি কেবল ফাইলটিকে একটিতে প্রোগ্রামটি নির্দেশ করতে পারেন।

রান-টাইম একমাত্র সমাধান

ডকার-কমপোজ একটি নন-সোর্ম মোড সলিউশনও সরবরাহ করে (যেহেতু v1.11: বাইন্ড মাউন্টগুলি ব্যবহার করে গোপনীয়তা )।

/run/secrets/গোপনগুলি ডকার-রচনা দ্বারা নীচে ফাইল হিসাবে মাউন্ট করা হয় । এটি রান-টাইমে (পাত্রে চালানো) সমস্যাটি সমাধান করে তবে বিল্ড-টাইমে নয় (চিত্রটি তৈরি করা), কারণ /run/secrets/বিল্ড-টাইমে মাউন্ট করা হয়নি। তদুপরি এই আচরণটি ডকার-রচনা দিয়ে ধারক চালানোর উপর নির্ভর করে।

উদাহরণ:

Dockerfile

FROM alpine
RUN cat /run/secrets/password
CMD sleep inifinity

Docker-compose.yml

version: '3.1'
services:
  app:
    build: .
    secrets:
      - password

secrets:
  password:
    file: password.txt

বিল্ড করতে, কার্যকর করুন:

docker-compose up -d

আরও পড়া:

• mikesir87 এর ব্লগ - বিকাশের সময় ডকার সিক্রেটস ব্যবহার করা

সঙ্গে Docker v1.9 আপনি ব্যবহার করতে পারেন ARG নির্দেশ উপর চিত্রে কমান্ড লাইন দ্বারা গৃহীত আর্গুমেন্ট আনতে বিল্ড কর্ম । কেবল - বিল্ড-আরগ পতাকাটি ব্যবহার করুন । সুতরাং আপনি ডকফাইফায়লে স্পষ্ট পাসওয়ার্ড (বা অন্যান্য বুদ্ধিমান তথ্য) এড়াতে এবং এটিকে ফ্লাইয়ে পাস করতে পারেন।

উত্স: https://docs.docker.com/engine/references/commandline/build/ http://docs.docker.com/engine/references/builder/#arg

উদাহরণ:

Dockerfile

FROM busybox
ARG user
RUN echo "user is $user"

বিল্ড ইমেজ কমান্ড

docker build --build-arg user=capuccino -t test_arguments -f path/to/dockerfile .

বিল্ড সময় এটি মুদ্রণ

$ docker build --build-arg user=capuccino -t test_arguments -f ./test_args.Dockerfile .

Sending build context to Docker daemon 2.048 kB
Step 1 : FROM busybox
 ---> c51f86c28340
Step 2 : ARG user
 ---> Running in 43a4aa0e421d
 ---> f0359070fc8f
Removing intermediate container 43a4aa0e421d
Step 3 : RUN echo "user is $user"
 ---> Running in 4360fb10d46a
**user is capuccino**
 ---> 1408147c1cb9
Removing intermediate container 4360fb10d46a
Successfully built 1408147c1cb9

আশা করি এটা সাহায্য করবে! বাই।

আমার পদ্ধতির কাজ মনে হচ্ছে, তবে সম্ভবত নির্বোধ। কেন এটা ভুল তা বলুন।

ডকার বিল্ড চলাকালীন সেট করা এআরজিগুলি ইতিহাসের সাবকম্যান্ড দ্বারা প্রকাশ করা হয়, সুতরাং সেখানে যান না। যাইহোক, একটি ধারক চালানোর সময়, রান কমান্ডে পরিবেশিত ভেরিয়েবলগুলি ধারকটির জন্য উপলব্ধ, তবে চিত্রটির অংশ নয়।

সুতরাং, ডকফাইফিলে, এমন কোনও সেটআপ করুন যা গোপন ডেটা জড়িত না। এর মতো কোনও সিএমডি সেট করুন /root/finish.sh। রান কমান্ডে, ধারকটিতে গোপন তথ্য প্রেরণের জন্য পরিবেশগত ভেরিয়েবল ব্যবহার করুন। finish.shনির্মাণের কাজ শেষ করতে ভেরিয়েবলগুলি মূলত ব্যবহার করে।

গোপন ডেটা পরিচালনা করা সহজ করার জন্য, এটিকে এমন কোনও ফাইলে রাখুন যা --env-fileসুইচ দিয়ে ডকার রান দ্বারা লোড হয় । অবশ্যই, ফাইলটি গোপন রাখুন। .gitignoreএবং যেমন.

আমার জন্য, finish.shপাইথন প্রোগ্রাম চালায়। এটি নিশ্চিত হয়ে গেছে যে এটি আগে চালিত হয়নি, তারপরে সেটআপটি সমাপ্ত করে (উদাহরণস্বরূপ, জ্যাঙ্গোর মধ্যে ডাটাবেসের নাম অনুলিপি করে settings.py)।

"সিক্রেটস" পরিচালনার জন্য একটি নতুন ডকার কমান্ড রয়েছে । তবে এটি কেবল জলাবদ্ধ ক্লাস্টারের জন্য কাজ করে।

docker service create
--name my-iis
--publish target=8000,port=8000
--secret src=homepage,target="\inetpub\wwwroot\index.html"
microsoft/iis:nanoserver 

12-ফ্যাক্টর অ্যাপ্লিকেশন পদ্ধতি বলে, যে কোনো কনফিগারেশন এনভায়রনমেন্ট ভেরিয়েবল সংরক্ষণ করা উচিত নয়।

ডকার রচনাটি কনফিগারেশনে পরিবর্তনীয় বিকল্প করতে পারে, যাতে হোস্ট থেকে ডকারে পাসওয়ার্ডগুলি পাস করতে ব্যবহার করা যেতে পারে।

যদিও আমি সম্পূর্ণরূপে একমত, এর কোনও সহজ সমাধান নেই। ব্যর্থতার একক পয়েন্ট হতে পারে। হয় ডকফাইল, ইত্যাদি ইত্যাদি। অ্যাপেসার একটি পরিকল্পনা রয়েছে যা দেখতে পার্শ্ববর্তী - দ্বৈত প্রমাণীকরণের মতো। অন্য কথায় অ্যাপেসার কনফিগারেশন বিধি না থাকলে দুটি ধারক কথা বলতে পারবেন না। তাদের ডেমোতে uid / pwd স্পষ্ট ছিল এবং অ্যাডমিন লিঙ্কেজ কনফিগার না করা পর্যন্ত পুনরায় ব্যবহার করা যাবে না। এটি কাজ করার জন্য, তবে এর অর্থ সম্ভবত ডকারকে প্যাচ করা বা কমপক্ষে নেটওয়ার্ক প্লাগইন (যদি এমন কোনও জিনিস থাকে)।