Question

В Docker существует дискуссия (консенсус?), Что передача секретов через переменные среды выполнения не является хорошей идеей, поскольку они остаются доступными в качестве системной переменной и потому, что они открываются при проверке Docker.

В kubernetes есть система для обработки секретов, но тогда вам остается либо передать секреты как env vars (используя envFrom), либо смонтировать их как файл, доступный в файловой системе.

Существуют ли причины, по которым монтирование секретов в виде файла предпочтительнее, чем передача их в формате env?

Я получил все теплые и нечеткие мысли, теперь все стало намного безопаснее, так что я раскрыл свои секреты с помощью k8s. Но потом я понял, что в конце концов «секреты» обрабатываются точно так же, как если бы я сам запускал их с помощью docker run -e при запуске контейнера.

BMitch · Answer 1 · 10 апреля 2019

Переменные среды не очень надежно обрабатываются ОС или приложениями.Форкинг процесса разделяет его полную среду с разветвленным процессом.Журналы и трассировки часто включают переменные среды.И среда видна всему приложению как эффективная глобальная переменная.

Файл может быть считан непосредственно в приложение и обработан необходимой подпрограммой и обработан как локальная переменная, которая не используется другими методами илираздвоенные процессы.С секретами режима роя эти секретные файлы внедряются в рабочие файлы файловой системы tmpfs, которая никогда не записывается на диск.

Секреты, внедряемые как переменные среды в конфигурацию контейнера, также видны всем, у кого есть доступ для проверкиконтейнеры.Довольно часто эти переменные фиксируются в управлении версиями, что делает их еще более заметными.Разделяя секрет на отдельный объект, который помечен для конфиденциальности, вам проще управлять им иначе, чем открытой конфигурацией, такой как переменные среды.

Soumen Mukherjee · Answer 2 · 10 апреля 2019

Да, поскольку при монтировании действительное значение не отображается через проверку докера или другие средства управления Pod.Более того, вы можете обеспечить доступ к файлам на уровне файлов на уровне файловой системы хоста.

Более рекомендуемое чтение здесь Секреты Kubernets

P Ekambaram · Answer 3 · 10 апреля 2019

Секреты в Kearse, используемые для хранения конфиденциальной информации, такой как пароли, ssl-сертификаты.

Вы определенно хотите смонтировать ssl-сертификаты в виде файлов в контейнере, а не получать их из переменных среды.

Есть ли какое-либо преимущество в безопасности при монтировании секретов в виде файла вместо передачи их в качестве переменных среды с помощью Docker в Kubernetes?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Есть ли какое-либо преимущество в безопасности при монтировании секретов в виде файла вместо передачи их в качестве переменных среды с помощью Docker в Kubernetes?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов