有没有办法从新的 docker build 增强中设置环境变量?
试过
RUN --mount=type=secret,id=secret export SECRET=`/run/secrets/secret
RUN --mount=type=secret,id=secret ENV SECRET=`/run/secrets/secret
两者都不起作用。或者在 dockerfile 上设置环境变量的秘密不好?由于运行docker history到以纯文本形式设置的 env var。如果是这种情况,将 env var 设置为尽可能安全的最佳方法是什么?
BMi*_*tch 14
要从秘密中设置变量,您可以使用$(cat /filename)shell 中的语法。这会影响该单个步骤中的 shell,因此对该变量的所有使用都需要在同一步骤中。您无法将变量从 RUN 步骤提取到 ENV 步骤中。如果您需要将其保留到其他 RUN 步骤,则需要将变量写入文件系统并将其包含在映像中,这是不可取的(相反,只需在后面的 RUN 步骤中再次安装密钥)。
这是一个工作示例,您还可以使用以下命令导出该秘密export secret_var:
$ cat df.secret
FROM busybox
RUN --mount=type=secret,id=secret \
secret_var="$(cat /run/secrets/secret)" \
&& echo ${secret_var}
$ cat secret.txt
my_secret
$ docker build --progress=plain --secret id=secret,src=$(pwd)/secret.txt -f df.secret .
#1 [internal] load build definition from df.secret
#1 sha256:85a18e77d3e60159b744d6ee3d96908a6fed0bd4f6a46d038e2aa0201a1028de
#1 DONE 0.0s
#1 [internal] load build definition from df.secret
#1 sha256:85a18e77d3e60159b744d6ee3d96908a6fed0bd4f6a46d038e2aa0201a1028de
#1 transferring dockerfile: 152B done
#1 DONE 0.0s
#2 [internal] load .dockerignore
#2 sha256:a5a676bca3eaa2c757a3ae40d8d5d5e91b980822056c5b3b6c5b3169fc65f0f1
#2 transferring context: 49B done
#2 DONE 0.0s
#3 [internal] load metadata for docker.io/library/busybox:latest
#3 sha256:da853382a7535e068feae4d80bdd0ad2567df3d5cd484fd68f919294d091b053
#3 DONE 0.0s
#5 [1/2] FROM docker.io/library/busybox
#5 sha256:08a03f3ffe5fba421a6403c31e153425ced631d108868f30e04985f99d69326e
#5 DONE 0.0s
#4 [2/2] RUN --mount=type=secret,id=secret secret=$(cat /run/secrets/secret) && echo ${secret}
#4 sha256:6ef91a8a7daf012253f58dba292a0bd86af1d1a33a90838b6a99aba5abd4cfaf
#4 0.587 my_secret
#4 DONE 0.7s
#6 exporting to image
#6 sha256:e8c613e07b0b7ff33893b694f7759a10d42e180f2b4dc349fb57dc6b71dcab00
#6 exporting layers 0.0s done
#6 writing image sha256:a52db3458ad88481406cd60627e2ed6f55b6720c1614f65fa8f453247a9aa4de done
#6 DONE 0.0s
#4 0.587 my_secret请注意显示秘密的行已输出。
Ell*_*nay -1
在您的示例中,环境变量是从秘密中设置的,但只是针对该过程。
如果您希望从机密中设置运行时环境变量,则需要安装包含机密的卷,或者通过 docker-compose 传递机密,无论哪种情况,然后利用入口点脚本根据秘密地点。
注意:秘密文件需要可供运行 dockerfile 的任何人/服务使用。
将入口点脚本添加到您的 Dockerfile
Dockerfile:
FROM alpine
# Bash is needed for the script to set env_vars based on secrets
RUN apk upgrade --update-cache --available && \
apk add bash \
&& rm -rf /var/cache/apk/*
# Adding entrypoint script to image
COPY ./docker_entrypoint /usr/local/bin/docker_entrypoint
RUN chmod +x /usr/local/bin/docker_entrypoint
ENTRYPOINT [ "docker_entrypoint"]
CMD ["printenv"]
此脚本将查找具有以下格式的环境变量,ENVAR_FILE以查找存储机密的路径 - 将机密导出到不带 的环境变量_FILE,然后调用其余命令。
docker_入口点:
FROM alpine
# Bash is needed for the script to set env_vars based on secrets
RUN apk upgrade --update-cache --available && \
apk add bash \
&& rm -rf /var/cache/apk/*
# Adding entrypoint script to image
COPY ./docker_entrypoint /usr/local/bin/docker_entrypoint
RUN chmod +x /usr/local/bin/docker_entrypoint
ENTRYPOINT [ "docker_entrypoint"]
CMD ["printenv"]
现在您可以传递 ENVAR_FILE=/mnt/path/to/secret 格式的环境变量 - 上面的入口点脚本将读取该文件的内容并生成变量 ENVAR=whateverYourSecretIs
使用 docker-compose 的示例:
#!/usr/bin/env bash
set -e
file_env() {
local var="$1"
local fileVar="${var}_FILE"
local def="${2:-}"
if [ "${!var:-}" ] && [ "${!fileVar:-}" ]; then
echo >&2 "error: both $var and $fileVar are set (but are exclusive)"
exit 1
fi
local val="$def"
if [ "${!var:-}" ]; then
val="${!var}"
elif [ "${!fileVar:-}" ]; then
val="$(< "${!fileVar}")"
fi
export "$var"="$val"
unset "$fileVar"
}
# Explicitly list the environment variables you want to
# set from secrets
file_env "ENVAR1"
file_env "ENVAR2"
exec "$@"
预期输出:
services:
someService:
image: <imageFromDockerFileAbove>
environment:
- ENVAR1_FILE=/run/secrets/envar1
- ENVAR2_FILE=/run/secrets/envar2
secrets:
- envar1
- envar2
secrets:
envar1:
file: /pth/to/secret
envar2:
file: /pth/to/secret
和
docker inspect --format='{{json .Config.Env}}' <containerID>
返回:
["ENVAR1_FILE=/run/secrets/envar1","ENVAR2_FILE=/run/secrets/envar2","PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"]
| 归档时间: |
|
| 查看次数: |
524 次 |
| 最近记录: |