Docker и безопасность паролей

При реализации аутентификации мы познакомились с использованием секретов Docker для передачи контейнерам файлов ключей для JWT.

По этим мотивам сегодня мы повысим безопасность контейнеров. Сделаем передачу паролей через секреты вместо переменных окружения. И создадим отдельного пользователя для PHP-CLI, чтобы не запускать консольные команды от root. Это нам станет полезно когда мы добавим очереди.

А сначала заодно обновим виртуальные машины до Debian 10 и Docker 20, чтобы работать со свежими инструментами.

  • 00:00:15 - Постановка задачи
  • 00:02:15 - Версия Docker
  • 00:03:08 - Обновление виртуальной машины
  • 00:04:21 - Ограничения версией операционной системы
  • 00:06:50 - Переход на Debian 10
  • 00:07:52 - Имя версии в Ansible
  • 00:09:58 - Версия Compose-файлов
  • 00:11:00 - Имена файлов секретов
  • 00:12:00 - Пример работы с готовыми образами
  • 00:14:09 - Чтение FILE-переменных в приложении
  • 00:16:24 - Тестовое окружение
  • 00:16:46 - Плюсы при деплое без scp
  • 00:19:07 - Где отображаются пароли
  • 00:20:42 - Внедрение файлов в Jenkins
  • 00:23:28 - Создание пользователя в Dockerfile
  • 00:26:21 - Обзор результата
Скрытый контент
Комментарии (6)
Руслан

Спасибо!

Ответить
Arunas

Спасибо.

Ответить
Александр

Спасибо

Ответить
Руслан

Дима, спасибо огромное за обновление курса и плана скринкастов по разработке аукциона!

Застрял в настройках SSL для локального тестирования (подключение стороннего API, OAuth2/https). Как правильно получить/установить сертификаты, использовать ssl-cert-snakeoil, или?

Спасибо!

Ответить
Дмитрий Елисеев

Сторонний сервис требует указывать адрес localhost с HTTPS? Если очень нужно подключаться напрямую к сторннему сервису, то да, можно подставить самоподписанные snakeoil сертификаты.

Но вместо этого для локальной разработки удобнее поднять локальный эмулятор стороннего сервиса через Wiremock. Мы это как раз будем делать для входа через социальные сети.

Ответить
Руслан

Дима, благодарю за разъяснение, стало более понятно когда нужен snakeoil. В моем случае сторонний сервис пропустил без https, но создание локального эмулятора стороннего сервиса через Wiremock будет очень интересно.

Ответить
Зарегистрируйтесь или войдите чтобы оставить комментарий

Или войти через:

Google
GitHub
Yandex
MailRu