Меня интересует уровень безопасности секретов Docker, поскольку они считаются безопасными. Когда я предоставляю сервису доступ к секрету, как и ожидалось, я могу засвидетельствовать, что tempfs смонтированы на пути контейнера (/var/lib/docker/containers/<container ID>/mounts/secrets
) на узле, где размещена задача сервиса. Однако я смог отследить файл внутри этого пути и увидеть содержимое секрета.
В тот момент мне было интересно, что делает секреты более безопасными, чем конфиги. Насколько мне известно, тот факт, что они хранятся на RAM-дисках, является ключевым отличием между ними и конфигами. И конфиги, и секреты зашифрованы внутри плота, единственное отличие состоит в том, что конфиги хранятся в файлах на дисках, когда они монтируются в контейнеры, в отличие от секретов, которые находятся на RAM-дисках. Но если я могу просмотреть содержание секретов, действительно ли это имеет значение?