#rancher
#владелец ранчо
Вопрос:
Я новичок в мире ранчо. В нашей программе разработки rancher мы разработали сервисы, и большинство из них подключаются к нашему кластеру mariadb. Значение пароля указано в виде обычного текста, и любой из наших разработчиков или любой другой, имеющий доступ к графическому интерфейсу Rancher, может увидеть пароль и другую информацию о доступе:
Итак, как мы можем замаскировать значение пароля?
Ответ №1:
Переменные среды могут быть прочитаны различными способами. Одним из которых является выполнение командной оболочки и выполнение printenv
команды. Таким образом, попытка запутать пароль только в пользовательском интерфейсе не решит вашу проблему. Основываясь на пользовательском интерфейсе, я мог бы сказать, что вы используете версию Rancher 1.6.x. Если бы вы использовали версию 2.x, вы могли бы запустить DB в собственном проекте без доступа к разработчикам.
Комментарии:
1. Большое спасибо за вашу подсказку. Вы правы. Поэтому, возможно, лучше всего использовать секреты: rancher.com/docs/rancher/v1.6/en/cattle/secrets или что вы думаете?
2. Если пользователь может запустить оболочку в контейнер, секрет может быть прочитан простой
cat
командой.3. да, это правильно, тогда то, что вы предлагаете, и как мы можем реализовать это самым безопасным способом?
Ответ №2:
Как насчет rancher.server/env/1a ****/infra / secrets? Секреты будут доступны в /run / secrets / внутри контейнера с заданным именем файла.
Комментарии:
1. Я думаю, как вы сказали, я могу реализовать это, как указано на этой странице: rancher.com/docs/rancher/v1.6/en/cattle/secrets