Mehr als ein Anwender hat bereits eine unschöne Überraschung erlebt, wenn in einem öffentlichen Github-Repository die Zugangsdaten für einen wichtigen Server gelandet sind. Aus diesem Grund wird davon abgeraten, Passwort- und andere sensible Daten in Dateien zu hinterlegen. Dies gilt auch für Docker-Images, deren Build-Dateien (Dockerfiles) häufig Passwörter in Form von Umgebungsvariablen enthielten, die ein Container beim Start übergeben bekam. Eine Möglichkeit, zumindest einen Teil des Problems zu lösen, sind separate Dateien für Umgebungsvariablen, die in ein Docker-Compose-File mit der Anweisung "env_file" eingebunden werden.
Mit der Docker-Version 1.13 entstand eine bessere Lösung für das Problem: die sogenannten Secrets [1], die Docker eigenständig im Hintergrund verwaltet und soweit möglich verschlüsselt speichert und transportiert. Damit lassen sich Passwörter, Zertifikate und andere geheimzuhaltende Daten halbwegs sicher speichern und an Container weitergeben.
Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.