spring - 在 Spring Boot 应用程序中提取 Docker 机密而不是使用属性文件
问题描述
我在 docker swarm 堆栈上运行一个 spring boot 应用程序,并且想将 docker secrets 用于令牌秘密、api 密钥等......创建秘密并使它们在我正在运行的 docker 容器中可用是没有问题的以下撰写文件:
version: "3.7"
services:
app:
image: myimage
environment:
tokenSecret: /run/secrets/tokenSecret
apiKey: /run/secrets/apiKey
secrets:
- tokenSecret
- apiKey
frontend:
.....
db:
.....
secrets:
tokenSecret:
external: true
apiKey:
external: true
秘密是由printf some_secret | docker secret create tokenSecret -
在使用 docker secrets 之前,我将属性存储在我的application.properties文件中:
tokenSecret: some_secret
apiKey: some_key
并可以通过以下方式访问它们:
@Component
public class AppProperties {
private Environment environment;
@Autowired
public void setEnvironment(Environment environment) {
this.environment = environment;
}
public String getTokenSecret(){
return environment.getProperty("tokenSecret");
}
public String getApiKey(){
return environment.getProperty("apiKey");
}
}
现在,使用 docker secrets 并删除 application.properties,getTokenSecretandgetApiKey方法将返回 docker 容器中 secrets 的文件位置:"/run/secrets/tokenSecret"而不是 secret 的内容。将秘密内容从容器文件系统加载到我的应用程序中似乎是一项简单的任务,但我仍然不知道最好的方法是什么。
解决方案
最简单的方法是将自定义 docker-entrypoint.sh 添加到打开文件的 Dockerfile 中。就像是:
#!/bin/sh
export TOKEN_SECRET=${TOKEN_SECRET:=`cat ${TOKEN_SECRET_FILE}`}
java -noverify -XX:TieredStopAtLevel=1 -Djava.security.egd=file:/dev/./urandom -jar app.jar
在堆栈的 docker-compose.yml 中:
version: '3.7'
services:
serviceName:
...
environment:
TOKEN_SECRET_FILE: /run/secrets/tokenSecret
secrets:
- tokenSecret
secrets:
tokenSecret:
external: true
这样,对于开发环境(没有 Swarm),您可以像以前一样简单地将 TOKEN_SECRET 与您的非加密开发机密一起传递
推荐阅读
- python - 用其他列的索引替换列表类型的列项
- c - 在c编程中将一个字符串变量复制到另一个字符串变量时遇到问题
- javascript - V8 字节码中的 LdaKeyedProperty 是什么?
- c# - 发送带有大于 4MB 附件的电子邮件
- c++ - 提升排序如何处理额外的内存分配=
- python - 如何提高我的 python 函数 for 循环的性能?
- swift - 使用未声明的标识符“_AppsFlyerdelegate”
- marshmallow - Marshmallow 和 Flask-RESTPlus,它们应该如何一起使用?
- algorithm - 重新排列字符串排列的算法。我该如何解决?
- python - 在 docker 的共享卷中创建符号并在主机中访问它