那些遇到过的问题

在ECS上获取Docker容器的RDS密码的最佳实践

Tob*_*sen 6 amazon-ecs

我正在使用Postgres Amazon RDS和Amazon ECS来运行我的docker容器.问题是.将RDS数据库的用户名和密码导入ECS上运行的docker容器的最佳做法是什么?

我看到几个选项:

  • 将凭据构建​​到docker镜像中.我不喜欢这个,因为每个有权访问图像的人都可以获得密码.
  • 将凭据放在ECS自动缩放组使用的启动配置的用户数据中.使用此方法,在我的ECS群集上运行的所有docker镜像都可以访问凭据.我也不是那么喜欢.这样,如果黑帽在我的任何服务(甚至不使用数据库的服务)中发现安全漏洞,他将能够获得数据库的凭据.
  • 将凭据放入S3并使用ECS服务器具有的IAM角色控制对该存储桶的访问限制.将它们放入userdata也有同样的缺点.
  • 将凭据放在ECS的任务定义中.我没有看到任何缺点.

您对最佳方法的看法是什么?我错过了任何选择吗?

问候,托比亚斯

Mar*_*ung 11

从未建议将其构建到容器中.使分发和更改变得困难.

将其放入ECS实例并不能帮助您的容器使用它.它们是孤立的,你最终会在所有实例上使用它们,而不仅仅是需要它们的容器.

将它们放入S3意味着您必须将该功能写入容器中.这是另一个配置的地方.

建议将它们放入任务定义中.您可以使用此environment部分.它很灵活.这也是像Heroku和Elastic Beanstalk这样的PaaS产品如何使用Ruby on rails和其他服务的数据库连接字符串.最后的好处是它可以轻松地将容器用于不同的数据库(如dev,test,prod),而无需重建容器或构建奇怪的功能

  • 环境变量不是硬编码的,尤其是在任务定义中,您可以迭代它们,因为它们不在二进制文件(容器)中。此外,IAM 不允许您访问 RDS。RDS 是托管数据库,您仍然使用连接字符串(url、端口、用户名、密码)连接到它 (2认同)

归档时间:

查看次数:

2114 次

最近记录:

7 年,3 月 前
相关归档
具有 ECS Fargate 的应用程序负载均衡器 17
无法让 docker heltcheck 与 ECS Fargate v 1.4.0 一起使用 11
Python FastAPI 健康检查日志 11
CannotStartContainerError:API错误(400):OCI运行时创建失败:container_linux.go:348:启动容器进程导致 9
无法让 API Gateway 使用私有 VPC 链接(在网络负载均衡器后面到 Fargate 容器) 9
使用公共 IP 的私有子网中的 Fargate 任务的 ECR 拉取失败 6
在 docker 容器内删除的文件未释放空间 5
AWS Cloudwatch + ECS - 要设置什么权限? 5
当新映像推送到 ECR 存储库时如何自动部署到 ECS Fargate 5
调试在构建第一个服务时冻结的 docker-compose 构建 2
难疑归档
为什么减去这两次(在1927年)给出一个奇怪的结果? 6628
如何将新的本地分支推送到远程Git存储库并跟踪它? 4154
将Git分支合并到master中的最佳(也是最安全)方法是什么? 1977
数据绑定如何在AngularJS中运行? 1924
Eclipse Android插件中的"调试证书已过期"错误 1863
如何删除已合并的所有Git分支? 1782
Markdown中的评论 1277
npm在没有sudo的情况下抛出错误 1218
按属性排序自定义对象的ArrayList 1093
将标签重新定义为4个空格 1041