目前我正在使用 docker-compose 文件来设置我的开发/生产环境。我正在使用环境变量来存储机密、数据库凭据等。经过一番搜索,我发现 Vault 可用于保护凭据。我尝试了几个使用 Vault 的基本示例,但我仍然不知道如何将 Vault 与 docker-compose 文件一起使用。有人能指出我正确的方法吗?如果 Vault 不是 docker-compose 的一个好的解决方案,我可以使用哪些机制来保护凭证,而不是将它们作为纯文本存储在环境中。
这是我当前在开发中使用 Vault 的 docker-compose 配置,但我在生产中使用专用服务器(不是 Docker)。
# docker_compose.yml
version: '2'
services:
myvault:
image: vault
container_name: myvault
ports:
- "127.0.0.1:8200:8200"
volumes:
- ./file:/vault/file:rw
- ./config:/vault/config:rw
cap_add:
- IPC_LOCK
entrypoint: vault server -config=/vault/config/vault.json
如果您必须重建容器,卷安装可确保保存保管库配置。
要使用“文件”后端,使此设置可移植到 Docker/Git,您还需要创建一个名为
config
的目录并将此文件放入其中,名为 vault.json
:
# config/vault.json
{
"backend": {"file": {"path": "/vault/file"}},
"listener": {"tcp": {"address": "0.0.0.0:8200", "tls_disable": 1}},
"default_lease_ttl": "168h",
"max_lease_ttl": "0h"
}
备注:
尽管
ROOT_TOKEN
在此配置中是静态的(不会在容器构建之间更改),但每次必须解封保管库时,为 VAULT_TOKEN
发出的任何生成的 app_role
都将失效。
我发现当容器重新启动时,Vault 有时会被密封。
我有一个稍微不同的版本:(主要添加了一些环境变量)
docker-compose.yml
version: '3'
services:
vault:
image: vault:latest
volumes:
- ./vault/config:/vault/config
- ./vault/policies:/vault/policies
- ./vault/data:/vault/data
ports:
- 8200:8200
environment:
- VAULT_ADDR=http://0.0.0.0:8200
- VAULT_API_ADDR=http://0.0.0.0:8200
- VAULT_ADDRESS=http://0.0.0.0:8200
cap_add:
- IPC_LOCK
command: vault server -config=/vault/config/vault.json
vault.json:
{
"listener": {
"tcp": {
"address": "0.0.0.0:8200",
"tls_disable": "true"
}
},
"backend": {
"file": {
"path": "/vault/file"
}
},
"default_lease_ttl": "168h",
"max_lease_ttl": "0h",
"api_addr": "http://0.0.0.0:8200"
}
如果我想在容器外部测试保管库:我这样做(例如):http://localhost:8200/v1/sys/seal-status
如果我想在容器内进行测试:我这样做(例如):http://vault:8200/v1/sys/seal-status
我是用laradock实现的。
单文件版本
version: '3.6'
services:
vault:
image: vault:1.13.3
healthcheck:
retries: 5
restart: always
ports:
- 8200:8200
environment:
VAULT_ADDR: 'https://0.0.0.0:8200'
VAULT_LOCAL_CONFIG: '{"listener": [{"tcp":{"address": "0.0.0.0:8200","tls_disable":"1"}}], "ui": true, "storage": [{"file": {"path":"/vault/data"}}]}'
cap_add:
- IPC_LOCK
volumes:
- ./vault/config:/vault/config
- ./vault/data:/vault/data
command: vault server -config vault/config/local.json