我已经设置了Hashicorp Vault的实例。我已经成功地写了一些秘密和从中读取秘密。设置和运行Vault是一件容易的事情。现在,我如何使用Vault作为存储来替换docker-compose.yml中的.env文件?如何从所有docker-compose文件中的Vault中读取机密?
更加困难:如何动态生成密钥以访问Vault中的机密,然后在docker-compose.yml文件中使用这些密钥,而无需在每次重新启动堆栈时都编辑这些文件?该过程如何自动化?简而言之,我到底该如何利用Hashicorp Vault保护.env文件中公开的机密?
我已经阅读了他们的所有文献和博客文章,还没有找到任何概述该过程的信息。我被困住了,任何提示将不胜感激。
注意:这不是关于使用docker-compose运行Hashicorp Vault容器的问题,我已经成功完成了。
另外请注意:我无法修改容器本身;我只能修改docker-compose.yml文件
您需要查询Vault API来填充.env文件或容器的入口点。我的首选是最坏的容器入口点,最好是直接在您的应用程序中。原因是因为保管库秘密可能短暂存在,并且任何运行时间超过该期限的容器都需要刷新其秘密。