Připojení tajného svazku v Azure Container Instances
Pomocí tajného svazku můžete do kontejnerů ve skupině kontejnerů poskytovat citlivé informace. Tajný svazek ukládá tajné kódy v souborech v rámci svazku, ke kterým mají přístup kontejnery ve skupině kontejnerů. Uložením tajných kódů do tajného svazku se můžete vyhnout přidávání citlivých dat, jako jsou klíče SSH nebo přihlašovací údaje k databázi, do kódu aplikace.
- Po nasazení s tajnými kódy ve skupině kontejnerů je svazek tajných kódů jen pro čtení.
- Všechny tajné svazky jsou podporovány tmpfs, systémem souborů ram; jejich obsah se nikdy nezapisuje do nestálého úložiště.
Poznámka
Svazky tajných klíčů jsou v současné době omezené na kontejnery Linuxu. Naučte se předávat zabezpečené proměnné prostředí pro kontejnery Windows i Linux v tématu Nastavení proměnných prostředí. Zatímco pracujeme na přenesení všech funkcí do kontejnerů Windows, aktuální rozdíly mezi platformami najdete v přehledu.
Připojení tajného svazku – Azure CLI
Pokud chcete nasadit kontejner s jedním nebo více tajnými kódy pomocí Azure CLI, zahrňte --secrets
parametry a --secrets-mount-path
do příkazu az container create . Tento příklad připojí svazek tajného kódu, který se skládá ze dvou souborů obsahujících tajné kódy, mysecret1 a mysecret2 v :/mnt/secrets
az container create \
--resource-group myResourceGroup \
--name secret-volume-demo \
--image mcr.microsoft.com/azuredocs/aci-helloworld \
--secrets mysecret1="My first secret FOO" mysecret2="My second secret BAR" \
--secrets-mount-path /mnt/secrets
Následující příkaz az container exec output ukazuje otevření prostředí ve spuštěném kontejneru, výpis souborů v tajném svazku a zobrazení jejich obsahu:
az container exec \
--resource-group myResourceGroup \
--name secret-volume-demo --exec-command "/bin/sh"
/usr/src/app # ls /mnt/secrets
mysecret1
mysecret2
/usr/src/app # cat /mnt/secrets/mysecret1
My first secret FOO
/usr/src/app # cat /mnt/secrets/mysecret2
My second secret BAR
/usr/src/app # exit
Bye.
Připojení tajného svazku – YAML
Skupiny kontejnerů můžete také nasadit pomocí Azure CLI a šablony YAML. Při nasazování skupin kontejnerů, které se skládají z více kontejnerů, je upřednostňovanou metodou nasazení šablony YAML.
Při nasazení pomocí šablony YAML musí být v šabloně kódované hodnoty tajných kódů Base64 . Hodnoty tajných kódů se ale zobrazují v souboru v kontejneru ve formátu prostého textu.
Následující šablona YAML definuje skupinu kontejnerů s jedním kontejnerem, který připojí tajný svazek na adrese /mnt/secrets
. Tajný svazek obsahuje dva soubory obsahující tajné kódy: mysecret1 a mysecret2.
apiVersion: '2019-12-01'
location: eastus
name: secret-volume-demo
properties:
containers:
- name: aci-tutorial-app
properties:
environmentVariables: []
image: mcr.microsoft.com/azuredocs/aci-helloworld:latest
ports: []
resources:
requests:
cpu: 1.0
memoryInGB: 1.5
volumeMounts:
- mountPath: /mnt/secrets
name: secretvolume1
osType: Linux
restartPolicy: Always
volumes:
- name: secretvolume1
secret:
mysecret1: TXkgZmlyc3Qgc2VjcmV0IEZPTwo=
mysecret2: TXkgc2Vjb25kIHNlY3JldCBCQVIK
tags: {}
type: Microsoft.ContainerInstance/containerGroups
Pokud chcete provést nasazení pomocí šablony YAML, uložte předchozí YAML do souboru s názvem deploy-aci.yaml
a pak spusťte příkaz az container create s parametrem --file
:
# Deploy with YAML template
az container create \
--resource-group myResourceGroup \
--file deploy-aci.yaml
Připojení tajného svazku – Resource Manager
Kromě nasazení rozhraní příkazového řádku a YAML můžete nasadit skupinu kontejnerů pomocí šablony Azure Resource Manager.
Nejprve naplňte volumes
pole v části skupiny properties
kontejnerů šablony. Při nasazení pomocí šablony Resource Manager musí být v šabloně kódované hodnoty tajných kódů Base64. Hodnoty tajných kódů se ale zobrazují v souboru v kontejneru ve formátu prostého textu.
Dále pro každý kontejner ve skupině kontejnerů, ve které chcete připojit tajný svazek, naplňte volumeMounts
pole v properties
části definice kontejneru.
Následující šablona Resource Manager definuje skupinu kontejnerů s jedním kontejnerem, který připojí tajný svazek na adrese /mnt/secrets
. Tajný svazek obsahuje dva tajné kódy: mysecret1 a mysecret2.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"variables": {
"container1name": "aci-tutorial-app",
"container1image": "microsoft/aci-helloworld:latest"
},
"resources": [
{
"type": "Microsoft.ContainerInstance/containerGroups",
"apiVersion": "2021-03-01",
"name": "secret-volume-demo",
"location": "[resourceGroup().location]",
"properties": {
"containers": [
{
"name": "[variables('container1name')]",
"properties": {
"image": "[variables('container1image')]",
"resources": {
"requests": {
"cpu": 1,
"memoryInGb": 1.5
}
},
"ports": [
{
"port": 80
}
],
"volumeMounts": [
{
"name": "secretvolume1",
"mountPath": "/mnt/secrets"
}
]
}
}
],
"osType": "Linux",
"ipAddress": {
"type": "Public",
"ports": [
{
"protocol": "tcp",
"port": "80"
}
]
},
"volumes": [
{
"name": "secretvolume1",
"secret": {
"mysecret1": "TXkgZmlyc3Qgc2VjcmV0IEZPTwo=",
"mysecret2": "TXkgc2Vjb25kIHNlY3JldCBCQVIK"
}
}
]
}
}
]
}
Pokud chcete provést nasazení pomocí šablony Resource Manager, uložte předchozí kód JSON do souboru s názvem deploy-aci.json
a pak spusťte příkaz az deployment group create s parametrem--template-file
:
# Deploy with Resource Manager template
az deployment group create \
--resource-group myResourceGroup \
--template-file deploy-aci.json
Další kroky
Svazky
Zjistěte, jak připojit další typy svazků v Azure Container Instances:
- Připojení sdílené složky ve službě Azure Container Instances
- Připojení svazku emptyDir v Azure Container Instances
- Připojení svazku gitRepo v Azure Container Instances
Zabezpečení proměnných prostředí
Další metodou poskytování citlivých informací kontejnerům (včetně kontejnerů Windows) je použití zabezpečených proměnných prostředí.