Docker Compose 如何使用 secrets 管理敏感密码信息
Docker Compose 从 version 3.1 开始支持 secrets 机制,可将敏感密码以加密形式存储并在运行时挂载到容器的/run/secrets/目录,避免明文泄露风险。
原因分析
传统使用环境变量存储敏感信息存在三大安全隐患:环境变量对所有进程可见、调试时可能无意打印到日志、缺乏细粒度访问控制。Docker Secret 通过加密存储于 Raft 日志、运行时以只读文件挂载至/run/secrets/、不落盘不入镜像的方式解决这些问题。Secret 内容大小限制为 500KB,超限需拆分或改用外部密钥管理服务如 HashiCorp Vault。
解决方案
步骤一:定义 Secrets
在 Docker Compose 文件顶级 secrets 部分声明,支持从本地文件创建:
version: "3.1" services:mysql:image: mysql:latestenvironment:MYSQL_ROOT_PASSWORD_FILE: /run/secrets/db_root_passwordsecrets:- db_root_password secrets:db_root_password:file: ./db_root_password.txt
本地文件 db_root_password.txt 内容仅为密码明文,如 mydbpass123,无需换行符。
步骤二:在 Service 中引用 Secret
服务配置中通过 secrets 列表指定需要访问的 Secret,容器内默认以只读文件形式出现在/run/secrets/<name>:
wordpress:image: wordpress:latestenvironment:WORDPRESS_DB_PASSWORD_FILE: /run/secrets/db_passwordsecrets:- db_password
自定义目标路径与权限可使用高级语法:source=db_password,target=passwd,uid=101,gid=101,mode=0400。
步骤三:容器内读取 Secret
应用应直接读取/run/secrets/<name>文件内容,而非通过环境变量传递。Shell 脚本示例:DB_PASS=$(cat /run/secrets/db_password)。Python 示例:with open('/run/secrets/db_password', 'r') as f: password = f.read().strip()。务必检查文件权限默认 0444,避免写入或误删。
注意事项
Secret 是 Swarm 特性,非 Swarm 环境如单机 docker-compose up 无法使用,需确保 Docker Compose 版本支持 3.1 及以上。Secret 名称不能含下划线 (_),建议用短横线 (-) 分隔,否则可能创建失败。Secret 不支持动态重载,应用需自行监听文件变更或重启任务,更新需先 docker secret rm 再重建并滚动更新服务。Swarm 节点必须启用 TLS 加密通信,否则 Raft 日志中的 Secret 加密可能被绕过。删除需谨慎:docker secret rm 后所有使用它的服务将无法启动新任务。
参考来源
来源:Docker 官方文档 - Docker Compose version 3.1 secrets 配置规范
来源:阿里云开发者社区 - 每天 5 分钟玩转 Docker 容器技术 (108)(109)
来源:技术博客 - 优雅地实现安全的容器编排 - Docker Secrets(2017 年 5 月 29 日)
来源:Docker 知识库 - 如何使用 Docker Secret 管理容器敏感配置信息实战 (2026 年 4 月 9 日)
原文链接:https://www.zjcp.cc/ask/9771.html