Wie übergebe ich Chef-Datenbeutel an einen Andock-Container?

Question

Ich habe bereits einen Databag-Artikel erstellt, der auf dem Chef-Server existiert.
Jetzt versuche ich, den geheimen Wert dieses Datenbank-Elements an einen Andock-Container weiterzugeben.

Ich schaffe die Daten Tasche wie folgt:

knife data bag create bag_secrets bag_masterkey --secret-file C:\path\data_bag_secret 

Ich Abrufen Wert dieses databag Artikel in Rezept Chef wie folgt:

secret = Chef::EncryptedDataBagItem.load_secret("#{node['secret']}") 
masterkey = Chef::EncryptedDataBagItem.load("databag_secrets", "databag_masterkey", secret) 

Welche Logik muss ich hinzufügen müssen passieren auf dem Data-Bag-Geheimnis zu einem Andock-Container?

Answer 1

Ich habe dies zweimal auf verschiedene Fragen gesagt: VERWENDEN SIE KEINE VERSCHLÜSSELTEN DATENBANKEN, WIE DIESE IST NICHT SICHER.

Ich denke, dass Sie das Sicherheitsmodell der verschlüsselten Taschen grundsätzlich missverstehen, sie existieren nur, um Daten zu ermöglichen, wo der Chef-Server es nicht lesen kann. Die Kosten sind, dass Sie die Schlüsselverteilung verwalten müssen. Für Docker würde dies wahrscheinlich über Seitencontainer oder Datenvolumen sein, aber ein laufender Chef-Client in einem Container ist relativ selten, so dass Sie das selbst aussortieren müssen. Ich würde empfehlen, mit einem Sicherheits-/infosec-Ingenieur in Ihrem Unternehmen zu arbeiten, um das richtige Sicherheitsmodell für Ihre Verwendung zu finden.