有没有办法从新的 docker build enhancements 设置环境变量?
试过了
RUN --mount=type=secret,id=secret export SECRET=`/run/secrets/secret
RUN --mount=type=secret,id=secret ENV SECRET=`/run/secrets/secret
两者都不起作用。还是在 dockerfile 上的环境变量上设置秘密不好?由于运行docker history 到以纯文本设置的环境变量。如果是这种情况,将 env var 设置为尽可能安全的最佳方法是什么?
【问题讨论】:
docker inspect 的纯文本形式显示。
标签: docker dockerfile
要从秘密中设置变量,您可以在 shell 中使用 $(cat /filename) 语法。这会影响该单个步骤中的 shell,因此您对该变量的所有使用都需要在同一步骤中。您不能将变量从 RUN 步骤提取到 ENV 步骤中。如果您需要它持续到其他 RUN 步骤,则需要将变量写入文件系统并包含在映像中,这是不可取的(而不是在后面的 RUN 步骤中再次挂载秘密)。
这是一个工作示例,您也可以使用 export secret_var 导出该机密:
$ cat df.secret
FROM busybox
RUN --mount=type=secret,id=secret \
secret_var="$(cat /run/secrets/secret)" \
&& echo ${secret_var}
$ cat secret.txt
my_secret
$ docker build --progress=plain --secret id=secret,src=$(pwd)/secret.txt -f df.secret .
#1 [internal] load build definition from df.secret
#1 sha256:85a18e77d3e60159b744d6ee3d96908a6fed0bd4f6a46d038e2aa0201a1028de
#1 DONE 0.0s
#1 [internal] load build definition from df.secret
#1 sha256:85a18e77d3e60159b744d6ee3d96908a6fed0bd4f6a46d038e2aa0201a1028de
#1 transferring dockerfile: 152B done
#1 DONE 0.0s
#2 [internal] load .dockerignore
#2 sha256:a5a676bca3eaa2c757a3ae40d8d5d5e91b980822056c5b3b6c5b3169fc65f0f1
#2 transferring context: 49B done
#2 DONE 0.0s
#3 [internal] load metadata for docker.io/library/busybox:latest
#3 sha256:da853382a7535e068feae4d80bdd0ad2567df3d5cd484fd68f919294d091b053
#3 DONE 0.0s
#5 [1/2] FROM docker.io/library/busybox
#5 sha256:08a03f3ffe5fba421a6403c31e153425ced631d108868f30e04985f99d69326e
#5 DONE 0.0s
#4 [2/2] RUN --mount=type=secret,id=secret secret=$(cat /run/secrets/secret) && echo ${secret}
#4 sha256:6ef91a8a7daf012253f58dba292a0bd86af1d1a33a90838b6a99aba5abd4cfaf
#4 0.587 my_secret
#4 DONE 0.7s
#6 exporting to image
#6 sha256:e8c613e07b0b7ff33893b694f7759a10d42e180f2b4dc349fb57dc6b71dcab00
#6 exporting layers 0.0s done
#6 writing image sha256:a52db3458ad88481406cd60627e2ed6f55b6720c1614f65fa8f453247a9aa4de done
#6 DONE 0.0s
注意 #4 0.587 my_secret 显示秘密的行已输出。
【讨论】:
在您的示例中,环境变量是根据机密设置的,但仅针对该过程。
如果您想从机密设置运行时环境变量,您需要挂载包含机密的卷,或者通过 docker-compose 传递机密,在任何一种情况下,然后使用入口点脚本来设置基于秘密位置的秘密。
注意:秘密文件需要对运行 dockerfile 的任何人/服务可用。
向 Dockerfile 添加入口点脚本
Dockerfile:
FROM alpine
# Bash is needed for the script to set env_vars based on secrets
RUN apk upgrade --update-cache --available && \
apk add bash \
&& rm -rf /var/cache/apk/*
# Adding entrypoint script to image
COPY ./docker_entrypoint /usr/local/bin/docker_entrypoint
RUN chmod +x /usr/local/bin/docker_entrypoint
ENTRYPOINT [ "docker_entrypoint"]
CMD ["printenv"]
此脚本将查找格式为 ENVAR_FILE 的环境变量以查找存储密钥的路径 - 将密钥导出到不带 _FILE 的环境变量,然后调用剩余命令。
docker_entrypoint:
#!/usr/bin/env bash
set -e
file_env() {
local var="$1"
local fileVar="${var}_FILE"
local def="${2:-}"
if [ "${!var:-}" ] && [ "${!fileVar:-}" ]; then
echo >&2 "error: both $var and $fileVar are set (but are exclusive)"
exit 1
fi
local val="$def"
if [ "${!var:-}" ]; then
val="${!var}"
elif [ "${!fileVar:-}" ]; then
val="$(< "${!fileVar}")"
fi
export "$var"="$val"
unset "$fileVar"
}
# Explicitly list the environment variables you want to
# set from secrets
file_env "ENVAR1"
file_env "ENVAR2"
exec "$@"
现在您可以传递格式为 ENVAR_FILE=/mnt/path/to/secret 的环境变量 - 上面的入口点脚本将读取该文件的内容并生成变量 ENVAR=whateverYourSecretIs
使用 docker-compose 的示例:
services:
someService:
image: <imageFromDockerFileAbove>
environment:
- ENVAR1_FILE=/run/secrets/envar1
- ENVAR2_FILE=/run/secrets/envar2
secrets:
- envar1
- envar2
secrets:
envar1:
file: /pth/to/secret
envar2:
file: /pth/to/secret
预期输出:
someService_1 | HOSTNAME=<containerID>
someService_1 | ENVAR1=mysecret1
someService_1 | ENVAR2=mysecret2
someService_1 | PWD=/
someService_1 | HOME=/root
someService_1 | SHLVL=0
someService_1 | PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
和
docker inspect --format='{{json .Config.Env}}' <containerID>
返回:
["ENVAR1_FILE=/run/secrets/envar1","ENVAR2_FILE=/run/secrets/envar2","PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"]
【讨论】: