我的 Django 应用程序使用了很多环境变量,总共大约 35 个。目前,所有这些都由我在启动应用程序堆栈之前获取的 .env 文件处理。我想我不必指出这是一种非常不安全的方式,特别是如果它与生产中的密钥有关......
现在我的问题是我真的不明白如何从 .env 文件切换到秘密,因为我不明白如何在我的容器中处理秘密。例如,Django 使用连接字符串连接我的 MySQL 数据库,如下所示:
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.mysql',
'OPTIONS': {
'init_command': "SET sql_mode='STRICT_TRANS_TABLES'",
},
'NAME': env.str('MYSQL_DB'),
'USER': env.str('MYSQL_USER'),
'PASSWORD': env.str('MYSQL_PWD'),
'HOST': env.str('MYSQL_HOST'),
'PORT': env.str('MYSQL_PORT'),
}
}
大多数时候我使用“env.str”来获取我在开始时传递给容器的变量。那么我怎样才能让我的 Django 应用程序使用 docker secrets 并且如果可能的话继续像上面显示的那样获取 vars?是否有可能在我的 docker-entrypoint.sh 启动时加载所有需要的变量,如果是,如何实现?
我已经找到了这个解决方案:
if [ -f /run/secrets/MYSQL_PWD ]; then
export MYSQL_PWD=$(< /run/secrets/MYSQL_PWD)
fi
if [ -f /run/secrets/MYSQL_USER ]; then
export MYSQL_USER=$(< /run/secrets/MYSQL_USER)
fi
在启动时触发以使我的环境变量就位是否有意义?参见:https : //github.com/grafana/grafana-docker/issues/149
谢谢阅读
一种选择是使用您的文件创建一个秘密,然后使用源命令一次性加载所有环境变量。
docker secret create mysecret <path_to_your_env_file>
source /run/secrets/mysecret // in your entrypoint.sh
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句