如何在構建Docker鏡像時習慣性地訪問敏感數據？

Question

有時在構建Docker鏡像時需要使用敏感數據。例如，用於下載遠程文件或從私有存儲庫安裝依賴項的API令牌或SSH密鑰。分發產生的圖像並省略用於構建它的敏感憑據可能是可取的。如何才能做到這一點？

我看過docker-squash可以將多個圖層壓縮到一個，從最終圖像中刪除任何已刪除的文件。但是有沒有更習慣的方法？

Answer 1

關於習慣用法，我不確定，儘管碼頭人員仍然很年輕，有太多的成語。

但是，我們在我們公司有這個相同的問題。我們得出以下結論，儘管這是我們最好的努力，而不是建立在碼頭最佳實踐。

1）如果您在構建時需要這些值：在構建上下文中提供一個屬性文件，其值可以在構建時讀取，然後可以在構建後刪除屬性文件。這不是可移植的，但會完成這項工作。

2）如果您在運行時需要這些值：將值作爲環境變量傳遞。對於有機會訪問ps的人來說，他們是可見的，但這可以通過SELinux或其他方法來限制（老實說，我不知道這個過程，我是一個開發人員，操作團隊會處理那部分）。

Answer 2

我們解決這個問題的方法是我們有一個寫在docker build之上的工具。一旦您使用該工具啓動構建，它將下載dockerfile並更改它。它改變需要「祕密」要像所有的指令：

RUN printf "secret: asd123poi54mnb" > /somewhere && tool-which-uses-the-secret run && rm /somewhere 

然而，這留下提供給任何人的祕密數據和訪問圖像，除非該層本身具有像搬運工，壁球工具取出。用於生成每個中間層的命令可以使用the history command

Answer 3

Matthew Close在this blog article中對此進行了說明。

總結：您應該使用docker-compose將敏感信息安裝到容器中。