优雅地实现安全的容器编排 - Docker Secrets

优雅地实现安全的容器编排 - Docker Secrets

在微服务架构应用中,众多组件在集群中动态地创建、伸缩、更新。在如此动态和大规模的分布式系统上,管理和分发密码、证书等敏感信息将会是非常具有挑战性的工作。对于容器应用,传统的秘密分发方式,如将秘钥存放在容器镜像中,或是利用环境变量,volume动态挂载方式动态传入都存在着潜在的安全风险。

为了应对这个问题,在Docker 1.13及更高版本中,Docker推出了Secrets管理,可以在Swarm mode集群中安全地管理密码、密钥证书等敏感信息,并允许在多个Docker容器实例之间共享访问指定的秘密信息。

Docker secret 基本功能与典型场景

Docker命令行工具提供了docker secret命令来管理敏感信息,

注: docker secret 只能从Docker Swarm模式的manager节点调用,如果你在本机进行试验,请先执行 docker swarm init 命令

$ docker secret --help

Usage:    docker secret COMMAND

Manage Docker secrets

Options:
      --help   Print usage

Commands:
  create      Create a secret from a file or STDIN as content
  inspect     Display detailed information on one or more secrets
  ls          List secrets
  rm          Remove one or more secrets

Run 'docker secret COMMAND --help' for more information on a command.

其中 docker secret create 支持从标准输入读取信息,并且存入指定的secret:

首先我们创建两个 secrets

$ echo "Password4DB" | docker secret create db_password -
$ echo "Password4Root" | docker secret create root_password -

然后我们创建一个“db”服务并引用所创建的secret作为,数据库密码和root密码

$  docker service create --name db \
    -d \
    --secret db_password \
    --secret root_password \
    -e MYSQL_USER=dbtest \
    -e MYSQL_DATABASE=dbtest \
    -e MYSQL_PASSWORD_FILE=/run/secrets/db_password \
    -e MYSQL_ROOT_PASSWORD_FILE=/run/secrets/root_password \
    mariadb

创建完毕之后,我们可以检查服务的状态

$ docker service ls
ID                  NAME                MODE                REPLICAS            IMAGE               PORTS
ouq2xbuu3jrp        db                  replicated          1/1                 mariadb:latest

$ docker service logs --tail 100 db
...
db.1.zjmymi0goca0@moby    | 2017-05-28 23:35:25 140451437311936 [Warning] 'proxies_priv' entry '@% root@32ab97f50413' ignored in --skip-name-resolve mode.
db.1.zjmymi0goca0@moby    | 2017-05-28 23:35:25 140451437311936 [Note] mysqld: ready for connections.
db.1.zjmymi0goca0@moby    | Version: '10.1.23-MariaDB-1~jessie'  socket: '/var/run/mysqld/mysqld.sock'  port: 3306  mariadb.org binary distribution

我们可以通过 docker exec 命令来进入容器内部,查看挂载到/run/secrets/目录下的秘密文件

$ docker exec -ti 32ab97f50413 bash
root@32ab97f50413:/# cat /run/secrets/db_password
Password4DB
root@32ab97f50413:/# cat /run/secrets/root_password
Password4Root

容器编排中使用 docker secret

从 Docker Compose V3.1开始,支持在容器编排文件中使用 secret,这可以方便地在不同容器中分享所需的敏感信息。下面我们将使用 Compose 模板来构建一个Wordpress应用,通过 secret 实现 “wordpress”服务容器和“db”服务容器*享数据库密码。

docker-compose.yml 文件如下

version: "3.1"
services:
  wordpress:
    image: wordpress:latest
    secrets:
      - wp_db_password
    ports:
      - 8080:80
    environment:
      - WORDPRESS_DB_USER=wordpress
      - WORDPRESS_DB_NAME=wordpress
      - WORDPRESS_DB_PASSWORD_FILE=/run/secrets/wp_db_password
      - WORDPRESS_DB_HOST=mariadb
    deploy:
      replicas: 3
      update_config:
        parallelism: 2
        delay: 10s
      restart_policy:
        condition: on-failure
  mariadb:
    image: mariadb
    secrets:
      - wp_db_password
      - root_db_password
    environment:
      - MYSQL_USER=wordpress
      - MYSQL_DATABASE=wordpress
      - MYSQL_PASSWORD_FILE=/run/secrets/wp_db_password
      - MYSQL_ROOT_PASSWORD_FILE=/run/secrets/root_db_password
    deploy:
      replicas: 1
      restart_policy:
        condition: on-failure
secrets:
  wp_db_password:
    external: true
  root_db_password:
    external: true
    

通过模板中的 secrets 部分,我们创建和引用 Docker Secrtes,而且在Service 定义中可以非常方便地引用这些秘密信息,实现安全的容器编排。

首先,我们利用命令行创建秘密

$ echo "Password4DB" | docker secret create wp_db_password -
$ echo "Password4Root" | docker secret create root_db_password -

然后利用命令行部署compose模板

$ docker stack deploy -c docker-compose.yml wordpress
Creating network wordpress_default
Creating service wordpress_wordpress
Creating service wordpress_mariadb

由于我们为 “wordpress” 服务定义了 routing mesh 的端口映射,将8080端口暴露为服务的访问端口。我们可以打开浏览器,输入 http://127.0.0.1:8080 之后,就可以看到 WordPress 著名的配置页面了。

优雅地实现安全的容器编排 - Docker Secrets

关于更多关于 Docker 编排能力的说明,请参见Docker 1.13 编排能力进化

阿里云容器服务中使用 Docker Secrets

首先,我们需要创建一个Docker Swarm Mode集群。注意在集群模式中选择 Docker Swarm Mode。目前它还在 Beta 公测阶段,在华东2、美西1等地域开放。

优雅地实现安全的容器编排 - Docker Secrets

创建集群之后,它会自动构成一个 Docker Swarm集群。

选择集群,点击 “管理” >> “秘钥管理” >> “创建”,来创建新的secret

优雅地实现安全的容器编排 - Docker Secrets

然后退回容器服务控制台,创建Docker Compose V3模板。
选择 “镜像与方案” >> “编排模板” >> “创建”,使用如下内容创建模板 “wordpressv3-secret”

version: "3.1"
services:
  wordpress:
    image: wordpress:latest
    secrets:
      - wp_db_password
    environment:
      - WORDPRESS_DB_USER=wordpress
      - WORDPRESS_DB_NAME=wordpress
      - WORDPRESS_DB_PASSWORD_FILE=/run/secrets/wp_db_password
      - WORDPRESS_DB_HOST=mariadb
    labels:
      aliyun.routing.port_80: wordpress
    deploy:
      replicas: 3
      update_config:
        parallelism: 2
        delay: 10s
      restart_policy:
        condition: on-failure
  mariadb:
    image: mariadb
    secrets:
      - wp_db_password
      - root_db_password
    environment:
      - MYSQL_USER=wordpress
      - MYSQL_DATABASE=wordpress
      - MYSQL_PASSWORD_FILE=/run/secrets/wp_db_password
      - MYSQL_ROOT_PASSWORD_FILE=/run/secrets/root_db_password
    deploy:
      replicas: 1
      restart_policy:
        condition: on-failure
secrets:
  wp_db_password:
    external: true
  root_db_password:
    external: true

和上面示例模板一致,它会使用集群中的 secret “wp_db_password” 和 “root_db_password” 来配置数据库密码和root密码。

与之前示例唯一不同的地方在于,在本模板中使用 aliyun.routing.port_80: wordpress 标签来指明:将虚拟域名 “wordpress” 的请求路由到容器的 80 端口进行处理。这样无需在集群上暴露额外的端口,就可以直接通过7层负载均衡来访问应用了。容器服务内置了7层负载均衡和路由能力。

选择“创建应用”,输入应用名称和部署集群,点击“下一步”

优雅地实现安全的容器编排 - Docker Secrets

在“应用配置”页面,选择“创建并部署”,

优雅地实现安全的容器编排 - Docker Secrets

创建完毕,在应用页面就可以看见新的容器应用,在其部署就绪之后,我们可以点击应用名称进入应用管理界面,查看服务和容器信息。

优雅地实现安全的容器编排 - Docker Secrets

在路由列表,我们可以发现应用注册过的路由地址,

优雅地实现安全的容器编排 - Docker Secrets

点击之后,可以进入“WordPress”的配置页面了,是不是很方便呢:-)

优雅地实现安全的容器编排 - Docker Secrets

关于更多关于阿里云容器服务支持Swarm Mode的信息,请阅读相应文章。

Docker secret 实现原理

Docker 在Swarm mode集群设计中采用了系统化的安全设计。 用户创建的 Secrets,会以加密的方式存储在集群中 Manager节点的 Raft Store中。在创建服务时,Secrets 会下发到服务任务所处的 Worker 节点,并以 tmpfs 的形式挂载在容器内部。从而保证了秘钥等敏感信息可以安全地在分布式集群上分发。通过这样的措施,即使集群中一台Worker节点被攻破,没有容器访问权限的人是无法获取相应秘密信息的。

优雅地实现安全的容器编排 - Docker Secrets

在其他容器编排技术中,如Kubernetes也有类似的 Secrets 机制,然而在安全性上还存在较多的问题,期待在未来能够解决。

总结

安全无小事,微服务架构的应用对容器集群中安全地管理和分发秘密提出了更大的挑战。通过Docker Secret和Docker编排可以非常简洁、优雅地解决这个问题,帮助您打造安全的云原生应用执行环境。

容器服务的Swarm mode还在公测之中,陆续会有更多更酷的功能发布出来,也欢迎大家多提宝贵意见。

了解更多阿里云容器服务内容,请访问 https://www.aliyun.com/product/containerservice

上一篇:如果对刚入行做运维的人提点建议,你会对他说什么?


下一篇:用佳能单反运行我的世界服务器,Reddit点赞37.4K,本人:专业操作,切勿模仿,相机可能变板砖