在任务启动期间从安全位置检索应用程序configuration

我想确保我不在源代码或泊坞窗图像中存储敏感密钥和凭据。 具体而言,我想存储我的MySQL RDS应用程序凭据,并在容器/任务启动时复制它们。 该文档提供了一个从s3中检索ecs.config文件的例子,我想做类似的事情。

我正在使用Amazon ECS优化的AMI,并在我的ECS群集中注册了一个自动扩展组。 我正在使用ghost docker镜像,没有任何自定义。 有没有办法configuration我想要做的?

您可以在主机上定义一个卷,并将其映射到具有只读权限的容器。 请参阅以下文档以configurationECS任务的ECS卷。 http://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_data_volumes.html

即使容器在构build时没有configuration,它也会读取configuration,就好像它们在自己的文件系统中一样。

在主机操作系统上有很多方法来保护configuration。 在过去的项目中,我通过禁用ssh进入主机并使用cloud-init在启动时注入configuration来达到同样的效果。