备案控制台
探索云世界
开发者社区> 问答> 正文

Swarm mode 集群密钥管理的在服务中使用密钥

您可以通过创建应用来指定服务中使用的 secrets。您可以为服务赋权使用一个或多个 secrets。
前提条件
您已经创建了 secrets。有关如何创建 secrets,参见 创建密钥

使用限制
secrets 必须和使用它的应用位于同一集群内。

通过镜像创建应用
有关如何创建应用,参见 创建应用
本示例创建名为 [backcolor=transparent]mysql 的 MySQL 应用。在应用配置的 [backcolor=transparent]密钥 部分设置 secrets 信息。本示例赋权应用使用两个 secrets:[backcolor=transparent]my_mysql_password_v1 和 [backcolor=transparent]my_secret_v1。


其中:
  • [backcolor=transparent]密钥名称:您在容器服务中所创建的密钥的名称。
  • [backcolor=transparent]目标名称:将要挂载到容器的 /run/secrets/ 目录下的文件的名称。默认情况下,与 [backcolor=transparent]source 值相同,即容器在/run/secrets/<secret_name> 目录下访问密钥。
  • [backcolor=transparent]用户ID:拥有容器 /run/secrets/ 目录下的 secret 文件的用户 ID。默认为 0。
  • [backcolor=transparent]用户组ID:拥有容器 /run/secrets/ 目录下的 secret 文件的用户组 ID。默认为 0。
  • [backcolor=transparent]权限:将要挂载到容器/run/secrets/ 目录下的 secret 文件的权限。格式为八进制,例如:0444 表示全局可读。由于 secrets 是挂载在临时文件系统上的,所以 secrets 不可写;因此,如果您设置了可写位,系统会忽视您的设置。如果您不熟悉 UNIX 的权限模式,可以使用 Permission Calculator

此外,本示例中您还需要设置环境变量 MYSQL_ROOT_PASSWORD_FILE 来配置 MySQL 应用使用/run/secrets/my_mysql 文件作为 root 密码。

通过编排模板创建应用
有关如何创建应用,参见 创建应用
您可以使用 short syntax 或者 long syntax 来在编排模板中进行 secrets 的设置。

short syntax
使用 short syntax,您仅需要指定 secret 名称。容器服务会赋予容器访问 secret 的权限并将 secret 挂载到容器的/run/secrets/<secret_name> 目录。
本示例创建名为 [backcolor=transparent]mysqlshort 的应用。在编排模板中添加密钥的信息。本示例赋权应用使用两个 secrets:[backcolor=transparent]my_mysql_password_v1 和 [backcolor=transparent]my_secret_v1。

[backcolor=transparent]编排示例:
  1. [backcolor=transparent]version[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'3.2'
  2. [backcolor=transparent]services[backcolor=transparent]:
  3. [backcolor=transparent]  mysqlshort[backcolor=transparent]:
  4. [backcolor=transparent]    image[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'mysql:5.7'
  5. [backcolor=transparent]    deploy[backcolor=transparent]:
  6. [backcolor=transparent]      mode[backcolor=transparent]:[backcolor=transparent] replicated
  7. [backcolor=transparent]      replicas[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]1
  8. [backcolor=transparent]      update_config[backcolor=transparent]:
  9. [backcolor=transparent]        failure_action[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]continue
  10. [backcolor=transparent]      restart_policy[backcolor=transparent]:
  11. [backcolor=transparent]        condition[backcolor=transparent]:[backcolor=transparent] none
  12. [backcolor=transparent]    environment[backcolor=transparent]:
  13. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] MYSQL_ROOT_PASSWORD[backcolor=transparent]=[backcolor=transparent]/run/[backcolor=transparent]secrets[backcolor=transparent]/[backcolor=transparent]my_mysql_password_v1 [backcolor=transparent]#配置 MySQL 应用使用 /run/secrets/my_mysql_password_v1 文件作为 root 密码
  14. [backcolor=transparent]    secrets[backcolor=transparent]:
  15. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] my_mysql_password_v1 [backcolor=transparent]#您所创建的 secret 的名称
  16. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] my_secret_v1 [backcolor=transparent]#您所创建的 secret 的名称
  17. [backcolor=transparent]secrets[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]#对 secrets 进行声明
  18. [backcolor=transparent]  my_mysql_password_v1[backcolor=transparent]:
  19. [backcolor=transparent]    external[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]true
  20. [backcolor=transparent]  my_secret_v1[backcolor=transparent]:
  21. [backcolor=transparent]    external[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]true

您需要在编排模板中对 secrets 进行声明,否则 secrets 无法生效。其中, external:true 表示密钥已经创建了,容器服务不会尝试创建密钥而是寻找密钥并将其用于服务上。

long syntax
通过使用 long syntax,您可以指定 secrets 的相关参数。
本示例创建名为 [backcolor=transparent]mysqllong 的应用。在编排模板中添加密钥的信息。本示例赋权应用使用两个 secrets:[backcolor=transparent]my_mysql_password_v1 和 [backcolor=transparent]my_secret_v1。

[backcolor=transparent]编排示例:
  1. [backcolor=transparent]version[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'3.2'
  2. [backcolor=transparent]services[backcolor=transparent]:
  3. [backcolor=transparent]  mysqllong[backcolor=transparent]:
  4. [backcolor=transparent]    image[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'mysql:5.7'
  5. [backcolor=transparent]    deploy[backcolor=transparent]:
  6. [backcolor=transparent]      mode[backcolor=transparent]:[backcolor=transparent] replicated
  7. [backcolor=transparent]      replicas[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]1
  8. [backcolor=transparent]      update_config[backcolor=transparent]:
  9. [backcolor=transparent]        failure_action[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]continue
  10. [backcolor=transparent]      restart_policy[backcolor=transparent]:
  11. [backcolor=transparent]        condition[backcolor=transparent]:[backcolor=transparent] none
  12. [backcolor=transparent]    environment[backcolor=transparent]:
  13. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] MYSQL_ROOT_PASSWORD[backcolor=transparent]=[backcolor=transparent]/run/[backcolor=transparent]secrets[backcolor=transparent]/[backcolor=transparent]my_mysql[backcolor=transparent]#配置 MySQL 应用使用 /run/secrets/my_mysql_password_v1 文件作为 root 密码
  14. [backcolor=transparent]    secrets[backcolor=transparent]:
  15. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] source[backcolor=transparent]:[backcolor=transparent] my_mysql_password_v1 [backcolor=transparent]#您所创建的 secret 的名称
  16. [backcolor=transparent]        target[backcolor=transparent]:[backcolor=transparent] my_mysql
  17. [backcolor=transparent]        uid[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'0'
  18. [backcolor=transparent]        gid[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'0'
  19. [backcolor=transparent]        mode[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]444
  20. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] source[backcolor=transparent]:[backcolor=transparent] my_secret_v1 [backcolor=transparent]#您所创建的 secret 的名称
  21. [backcolor=transparent]        target[backcolor=transparent]:[backcolor=transparent] my_secret
  22. [backcolor=transparent]        uid[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'0'
  23. [backcolor=transparent]        gid[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'0'
  24. [backcolor=transparent]        mode[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]444
  25. [backcolor=transparent]secrets[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]#对 secrets 进行声明
  26. [backcolor=transparent]  my_mysql_password_v1[backcolor=transparent]:
  27. [backcolor=transparent]    external[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]true
  28. [backcolor=transparent]  my_secret_v1[backcolor=transparent]:
  29. [backcolor=transparent]    external[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]true

其中:
  • [backcolor=transparent]source:您在容器服务中所创建的密钥的名称。
  • [backcolor=transparent]target:将要挂载到容器的 /run/secrets/ 目录下的文件的名称。默认情况下,与 [backcolor=transparent]source 值相同,即容器在/run/secrets/<secret_name> 目录下访问密钥。
  • [backcolor=transparent]uid:拥有容器 /run/secrets/ 目录下的 secret 文件的用户 ID。默认为 0。
  • [backcolor=transparent]gid:拥有容器 /run/secrets/ 目录下的 secret 文件的用户组 ID。默认为 0。
  • [backcolor=transparent]mode:将要挂载到容器 /run/secrets/ 目录下的 secret 文件的权限。格式为八进制,例如:0444 表示全局可读。由于 secrets 是挂载在临时文件系统上的,所以 secrets 不可写;因此,如果您设置了可写位,系统会忽视您的设置。如果您不熟悉 UNIX 的权限模式,可以使用 Permission Calculator

您需要在编排模板中对 secrets 进行声明,否则 secrets 无法生效。其中, external:true 表示密钥已经创建了,容器服务不会尝试创建密钥而是寻找密钥并将其用于服务上。

展开
收起
反向一觉 2017-10-30 14:51:04 1949 0
0 条回答
写回答
取消 提交回答
问答分类:
关系型数据库 MySQL Unix 数据安全/隐私保护 容器 容器计算服务 密钥管理服务 云数据库 RDS MySQL 版
问答标签:
密钥管理服务密钥 密钥管理服务mode swarm mode集群密钥管理服务密钥 mode集群密钥管理服务密钥 swarm mode集群密钥管理服务服务密钥
问答地址:
开发者社区 > 数据库 > 问答

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
大数据计算MaxCompute是不是可以按照上面的方式创建对称加密密钥用于kms存储加密?
62
1
0
seata注册到nacos,如果nacos开启kms密钥服务关联,seata应该怎么配置?
22
0
0
阿里云网盘与相册怎么让客户指定oss加密密钥?
100
2
0
DataWorks在做数据同步的时候,有没有直接根据密钥进行加密之后存储?
46
2
0
大数据计算MaxCompute 启用kms存储加密如果用mc的默认密钥,是不是免费的?
62
1
0
AK,SK是对称加密还是非对称加密?阿里在采用的是哪种密钥方式?加密标准和协议是什么?
661
1
0
PolarDB TDE加密是否支持密钥轮转
209
1
0
Security中公钥算法和对称密钥算法相比哪个更快?可以使用公钥算法加密大量信息吗?
654
1
0
用户访问KMS来管理、使用密钥时,需要经过什么程序?
319
1
0
实现SSL/TLS 的通道加密时读取密钥库jks报错
1037
1
0
问答排行榜
最热
最新
1 通过阿里云代备案系统进行个人快速备案 2699493
2 【大咖问答】对话PostgreSQL 中国社区发起人之一,阿里云数据库高级专家 德哥 1818148
3 据说在家办公的程序员是这样写代码的? 1792066
4 阿里云开放端口权限 689766
5 《阿里云服务器从入门到精通》—论坛精华帖汇总(2013.8.21更新) 599342
6 如何升级配置 536009
7 【藏经阁一起读(27)】本周推荐《Apache Flink案例集(2022版)》,你有哪些心得? 522279
8 【精品问答】python技术1000问(1) 513931
9 Flink Forward Asia 2021 有奖问答 512757
10 Linux Bash严重漏洞修复紧急通知(已全部给出最终修复方案) 456880
11 工信部官网:www.miitbeian.gov.cn打不开解决办法 399439
12 OceanBase 使用动画(持续更新) 359216
13 阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本 329675
14 OSS存储服务-客户端工具 321205
15 为体验实验室取一个新名字。 307144
16 企业邮箱发送邮件时,若出现投递失败产生退信,内容提示包含如下: the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help 303623
17 Win Server 2003-2016 加密勒索事件必打补丁合集 295083
18 FLASH播放器,在IE浏览器下显示请确定您的域名已完成备案和CNAME绑定 283417
19 安全组详解,新手必看教程 277219
20 写code还是做管理,开发者如何进行职业规划? 268206
1 在做程序员的道路上,你掌握了什么关键的概念或技术让你感到自身技能有了显著飞跃? 821
2 作为一个经典架构模式,事件驱动在云时代为什么会再次流行呢? 642
3 宜搭:提交表单前,如何校验另一张表单的数据? 132
4 如何看待首个 AI 程序员入职科技公司? 1568
5 未启用对服务器的访问 462
6 在图像处理应用场景下,Serverless架构的优势体现在哪些方面? 1378
7 如何处理线程死循环? 1822
8 宜搭自定义页面,这个是怎么配置的 144
9 Idea 2024.1RC 报错提示 129
10 如何写出更优雅的并行程序? 1581
11 你认为一个优秀的技术PM应该具备什么样的能力? 2005
12 宜搭页面复制问题 317
13 宜搭审批节点调用连接器给表单组件赋值 111
14 宜搭在自定义页面保存数据新建表单后如何返回新建表单formInstId值 103
15 Nacos配置了鉴权 登录接口返回caused:这个有谁清楚吗? 109
16 从哪个版本开始nacos分成了两个端口?8848和9848 107
17 钉钉宜搭中要如何实现每日定时自动获取表单1中符合条件的实例数量总和,并赋值给表单2中的某个组件 299
18 宜搭官方的视频板块,图片上是怎么加文字样式的。 152
19 宜搭官方的这种页面是怎么实现的。 199
20 宜搭自定义页面,如何搭建这种效果? 117
推荐问答
乘风问答官招募中!机械键盘免费拿

相关文章

  • MVCC:深入解析多版本并发控制机制
  • MySQL的InnoDB引擎:深度解析与应用
  • MySQL的MyISAM引擎:技术特点与应用场景
  • 什么情况下物理服务器会运行出错?
  • Python数据清洗与预处理面试题解析

    • 相关电子书

    更多
    • 基于可信计算与加密计算 打造云上原生计算安全 立即下载
    \"视频服务特色解决方案——直播连麦与点播加密 \" 立即下载
    量子加密通信技术 立即下载

    相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
    30
    1.0小时
    去实验
  • RSA非对称加密算法
    319
    2.0小时
    去实验