如何将厨师数据包秘密传递给码头集装箱？

Question

我已经创建了厨师服务器上存在的数据库项目。
现在，我正试图将该数据块项目的秘密值传递给泊坞窗容器。

我创建的数据包，如下所示：

knife data bag create bag_secrets bag_masterkey --secret-file C:\path\data_bag_secret 

我检索在厨师的食谱，databag项的值如下：

secret = Chef::EncryptedDataBagItem.load_secret("#{node['secret']}") 
masterkey = Chef::EncryptedDataBagItem.load("databag_secrets", "databag_masterkey", secret) 

什么逻辑做我需要添加传递将数据包秘密提交给码头集装箱？

Answer 1

我这样说过，就像在不同的问题上两次：请不要使用加密的数据包，像这样不安全。

我认为你从根本上误解了加密行李的安全模式，它们只存在于厨师服务器无法读取的数据中。成本是你必须管理密钥分配。对于Docker来说，这可能是通过边车容器或数据卷，但在容器内部运行chef-client比较少见，所以你必须自己排除。我建议与贵公司的安全/信息安全工程师合作，找出适合您使用的安全模型。