document/TranslateProject
2
0
Fork 0
mirror of https://github.com/LCTT/TranslateProject.git synced 2025-01-25 23:11:02 +08:00
Code Issues Packages Projects Releases Wiki Activity

checked by imquanquan

Browse Source
This commit is contained in:
imquanquan 2018-01-11 22:38:40 +08:00 committed by GitHub
parent 5d78ff3354
commit edd0131b30
1 changed files with 4 additions and 4 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

8
translated/tech/20170209 INTRODUCING DOCKER SECRETS MANAGEMENT.md
View File

@ -8,7 +8,7 @@ Dockers 涉密信息Secrets管理介绍
构建更安全的应用程序的一个关键因素是与系统和其他应用程序进行安全通信这通常需要证书、tokens、密码和其他类型的验证信息凭证 —— 通常称为应用程序涉密信息。我们很高兴可以推出 Docker 涉密信息,一个容器的原生解决方案,它是加强容器安全的可信赖交付组件,用户可以在容器平台上直接集成涉密信息分发功能。
有了容器,现在应用程序在多环境下是动态的、可移植的。这使得现存的涉密信息分发的解决方案略显不足,因为它们都是针对静态环境。不幸的是,这导致了应用程序涉密信息管理不善的增加,使得不安全的本地解决方案变得十分普遍,比如像 GitHub 嵌入涉密信息到版本控制系统,或者在这之后考虑了其他同样不好的解决方案。
有了容器,现在应用程序在多环境下是动态的、可移植的。这使得现存的涉密信息分发的解决方案略显不足,因为它们都是针对静态环境。不幸的是,这导致了应用程序涉密信息管理不善的增加,使得不安全的本地解决方案变得十分普遍,比如像 GitHub 嵌入涉密信息到版本控制系统,或者在这之后考虑了其他同样不好的解决方案。
### Docker 涉密信息Secrets管理介绍
@ -26,11 +26,11 @@ Dockers 涉密信息Secrets管理介绍
$ echo "This is a secret" | docker secret create my_secret_data -
```
一旦,涉密信息到达某个管理节点,它将被保存到内部的 Raft 存储区中该存储区使用 NACL 开源加密库中的 Salsa20、Poly1305 加密算法生成的 256 位密钥进行加密以确保没有把任何涉密信息数据永久写入未加密的磁盘。向内部存储写入涉密信息,赋予了涉密信息跟其他集群数据一样的高可用性。
一旦,涉密信息到达某个管理节点,它将被保存到内部的 Raft 存储区中该存储区使用 NACL 开源加密库中的 Salsa20、Poly1305 加密算法生成的 256 位密钥进行加密以确保没有把任何涉密信息数据永久写入未加密的磁盘。向内部存储写入涉密信息,赋予了涉密信息跟其他集群数据一样的高可用性。
当集群管理器启动的时,包含涉密信息的被加密过的 Raft 日志通过每一个节点唯一的数据密钥进行解密。此密钥以及用于与集群其余部分通信的节点的 TLS 证书可以使用一个集群范围的加密密钥进行加密。该密钥称为“解锁密钥”,也使用 Raft 进行传递,将且会在管理器启动的时候使用。
当授予新创建或运行的服务权限访问某个涉密信息权限时,其中一个管理器节点(只有管理人员可以访问被存储的所有涉密数据),将已建立的 TLS 连接分发给正在运行特定服务的节点。这意味着节点自己不能请求涉密数据,并且只有在管理员提供给他们的时候才能访问这些涉密数据 —— 严格地控制请求涉密数据的服务。
当授予新创建或运行的服务权限访问某个涉密信息权限时,其中一个管理器节点(只有管理员可以访问被存储的所有涉密信息会通过已经建立的TLS连接将其分发给正在运行特定服务的节点。这意味着节点自己不能请求涉密信息并且只有在管理员提供给他们的时候才能访问这些涉密信息 —— 严格地控制请求涉密信息的服务。
```
$ docker service  create --name="redis" --secret="my_secret_data" redis:alpine
@ -54,7 +54,7 @@ $ docker exec -it $(docker ps --filter name=redis -q) cat /run/secrets/my_secret
cat: can't open '/run/secrets/my_secret_data': No such file or directory
```
查看 Docker secret 文档以获取更多信息和示例,了解如何创建和管理您的涉密信息。同时,特别推荐 Docker 安全合作团 Laurens Van Houtven (https://www.lvh.io/) 和使这一特性成为现实的团队。
查看 Docker Secret 文档以获取更多信息和示例,了解如何创建和管理您的涉密信息。同时,特别推荐 Docker 安全合作团 Laurens Van Houtven (https://www.lvh.io/) 和使这一特性成为现实的团队。
[Get safer apps for dev and ops w/ new #Docker secrets management][5]