Как использовать мой ключ gpg для расшифровки файла в док-контейнере без сохранения его в изображении?

Question

Я использую airflow и dockerOperator для подключения к демону docker и раскрутки контейнера.

Как часть моего конвейера, этот контейнер должен расшифровать файл с помощью gpg.

Если я скопирую ключ gpg во время сборки докера, то он будет навсегда отделен от изображения, это кажется небезопасным?

Я исследовал, могу ли я поместить ключ в переменную окружения и передать его таким образом, то есть через синтаксис докеров -e VAR:VAL. Единственный другой способ, о котором я могу подумать, - это смонтировать мой локальный файл .gnupg в контейнер и использовать его, однако это будет работать только тогда, когда я нахожусь на моей локальной машине. Я хочу иметь возможность перейти на ECS или kubernetes на каком-то этапе.

Answer 1

Вы правы, говоря, что добавление ключа во время сборки докера небезопасно.

Допустимый путь env.Если вы используете kubernetes позже, вы можете безопасно сохранить свой ключ как секрет в kubernetes.При развертывании вы можете предоставить секрет через env для контейнера.

Вы также можете предоставить секрет в виде файла из секрета kubernetes, используя том, а также подключить том локально и предоставить файл ключа.

Это официальные документы для секретов kubernetes: https://kubernetes.io/docs/concepts/configuration/secret/

Я не знаком с ECS, но я уверен, что есть подобные способы.