Per gli ultimi mesi ho gestito le password per i miei container docker inserendole nelle variables ENV.
Esempio:
web: environment: - PASSWORD=123456 Poi ho imbattuto in segreti Docker. Quindi le mie domande sono:
Dipende da un caso d'uso.
Se stai eseguendo un'applicazione sulla propria macchina per lo sviluppo che accede a un solo segreto, non hai bisogno di segreti docker.
Se stai eseguendo decine di macchine in produzione con una dozzina di servizi cluster che richiedono segreti l'uno per l'altro, hai bisogno della gestione segreta.
Oltre alla preoccupazione per la sicurezza, è semplicemente più facile avere un modo standardizzato di accedere, creare e rimuovere i tuoi segreti.
un docker inspect base docker inspect (tra le altre cose) mostrerà tutte le variables di ambiente, quindi questo non è affatto sicuro.
Potete anche guardare
keywhiz
square.github.io/keywhiz
o volta
hashicorp.com/blog/vault.html