我试图找到一种让 puppet 执行 docker-compose 并让秘密(在本例中为数据库密码)只能在运行时访问的方法,但我遇到了一些障碍。
可以理解,我不想只将我的数据库密码存储在我的 docker-compose.yml 文件中(该文件又进入源代码控制),因为那是不安全的。我的第一个想法是将机密存储在 eyaml 中并在运行时让 puppet 解密它们,但是这仍然留下了 docker-compose.yml 文件存在于主机上并且包含纯文本密码的问题。
其他答案建议使用 .env 文件,但这会导致同样的问题,虽然它可能不在源代码控制中,但密码仍然存在于主机上。
我也一直在阅读有关在 docker-compose 中使用 docker secrets 的文章,但我不明白这到底能实现什么(https://blog.mikesir87.io/2017/05/using-docker-secrets-during-development/)。如果您必须在主机上创建机密文件,这与使用 .env 文件有何不同?
有没有办法只在运行时将变量传递给 docker-compose?