我正在 Dockerfile 和 docker-compose 之间切换,以找出部署 docker 映像并将其推送到 docker 注册表的最佳安全实践,以便每个人都可以使用它。
目前,我有一个 FastAPI 应用程序,它为 AWS 服务使用 AWS API 令牌。我正在尝试找出一种可以在 Docker for Windows (GUI) 和 Docker for Linux 中工作的解决方案。
在 Docker Windows GUI 中,很清楚,当我从注册表中提取映像后,我可以在映像环境中添加 API 令牌并旋转容器。
说到 Docker for Linux,我正在尝试找出一种通过 Dockerfile 或 docker-compose.yml 使用 AWS API 令牌构建映像的方法。
正如我之前所说,如果我做了博客中提到的那样的事情。适合我个人使用。从注册表中提取我的 docker 映像的用户也将拥有我的 AWS Secret。我该如何更好地处理这种情况
FROM python:3.10
# Set the working directory to /app
WORKDIR /src
# Copy the current directory contents into the container at /app
ADD ./ /src
# Install any needed packages specified in requirements.txt
#RUN /usr/local/bin/python -m pip install --upgrade pip
RUN pip install --upgrade pip
RUN pip install --no-cache-dir -r requirements.txt
# Make port 80 available to the world outside this container
EXPOSE 8000
# Run app.py when the container launches
CMD ["python", "main.py"]
以下是如何使用 Docker 构建时机密在 Docker for Linux 中管理机密:
首先,创建一个包含您的秘密的文件。例如,假设您有一个 AWS API 令牌,请创建一个名为 aws_token.txt 的文件并将您的令牌放入其中。
现在,修改您的 Dockerfile 以在构建过程中使用构建时密钥。
以下是如何做到这一点的示例:
来自Python:3.10
工作目录/src
添加./ /src
运行 pip install --升级 pip 运行 pip install --no-cache-dir -rrequirements.txt
暴露8000
ARG AWS_TOKEN ENV AWS_TOKEN=$AWS_TOKEN
CMD [“python”,“main.py”] 构建 Docker 映像:构建 Docker 映像时,将构建时密钥作为构建参数传递。您可以这样做: docker build --build-arg AWS_TOKEN=$(cat aws_token.txt) -t your_image_name .
最后,在构建过程中,aws_token.txt 文件中的 AWS 令牌将作为构建时参数安全地传递到 Docker 映像。然后它将作为容器内的环境变量进行访问。
由于 Docker 构建时机密存储在 Docker 构建缓存中,这意味着它们不会保留在最终映像中。这有助于维护您的秘密的安全。