如何将厨师数据包秘密传递给docker集装箱?
我已经创build了厨师服务器上存在的数据库项目。
现在,我正试图将该数据块项目的秘密值传递给一个泊坞窗容器。
我正在创build数据包,如下所示:
knife data bag create bag_secrets bag_masterkey --secret-file C:\path\data_bag_secret
我正在检索厨师食谱中该数据库项目的值,如下所示:
secret = Chef::EncryptedDataBagItem.load_secret("#{node['secret']}") masterkey = Chef::EncryptedDataBagItem.load("databag_secrets", "databag_masterkey", secret)
我需要添加什么逻辑来将数据包秘密传递给docker集装箱?
我曾经在不同的问题上这样说过两次: 不要使用像这样的encryption数据库不安全 。
我认为你从根本上误解了encryption包的安全模式,它们只存在于厨师服务器无法读取的数据中。 成本是你必须pipe理密钥分配。 对于Docker来说,这可能是通过边车容器或数据卷,但在容器内部运行的chef-client相对来说比较less见,所以你必须自己排除。 我build议与贵公司的安全/信息安全工程师合作,根据您的使用情况找出正确的安全模式。
- 未定义的方法`source_url'为#<Chef :: Cookbook :: Metadata:0x000000006f1378>
- 在Azure / AWS上的VM上的Docker容器上安装chef-client(Bootstrapping)
- 如何访问OpsWorks ECS层中的私有Docker存储库?
- 在开发人员环境中使用Docker容器进行testing的平台
- 厨师和docker工人
- 来自守护进程的错误响应:容器f88566c370dd未运行
- 在docker'systemctl错误'连接到总线失败:没有这样的文件或目录'
- AWS opsworkdocker工具:缺less食谱:没有这样的食谱:docker工人
- 与厨师使用docker工人的平滑解决scheme