如何將廚師數據包祕密傳遞給碼頭集裝箱？

Question

我已經創建了廚師服務器上存在的數據庫項目。
現在，我正試圖將該數據塊項目的祕密值傳遞給泊塢窗容器。

我創建的數據包，如下所示：

knife data bag create bag_secrets bag_masterkey --secret-file C:\path\data_bag_secret 

我檢索在廚師的食譜，databag項的值如下：

secret = Chef::EncryptedDataBagItem.load_secret("#{node['secret']}") 
masterkey = Chef::EncryptedDataBagItem.load("databag_secrets", "databag_masterkey", secret) 

什麼邏輯做我需要添加傳遞將數據包祕密提交給碼頭集裝箱？

Answer 1

我這樣說過，就像在不同的問題上兩次：請不要使用加密的數據包，像這樣不安全。

我認爲你從根本上誤解了加密行李的安全模式，它們只存在於廚師服務器無法讀取的數據中。成本是你必須管理密鑰分配。對於Docker來說，這可能是通過邊車容器或數據卷，但在容器內部運行chef-client比較少見，所以你必須自己排除。我建議與貴公司的安全/信息安全工程師合作，找出適合您使用的安全模型。