AI 助理
备案控制台
开发者社区> 问答> 正文

Swarm mode 集群密钥管理的在服务中使用密钥

您可以通过创建应用来指定服务中使用的 secrets。您可以为服务赋权使用一个或多个 secrets。
前提条件
您已经创建了 secrets。有关如何创建 secrets,参见 创建密钥

使用限制
secrets 必须和使用它的应用位于同一集群内。

通过镜像创建应用
有关如何创建应用,参见 创建应用
本示例创建名为 [backcolor=transparent]mysql 的 MySQL 应用。在应用配置的 [backcolor=transparent]密钥 部分设置 secrets 信息。本示例赋权应用使用两个 secrets:[backcolor=transparent]my_mysql_password_v1 和 [backcolor=transparent]my_secret_v1。


其中:
  • [backcolor=transparent]密钥名称:您在容器服务中所创建的密钥的名称。
  • [backcolor=transparent]目标名称:将要挂载到容器的 /run/secrets/ 目录下的文件的名称。默认情况下,与 [backcolor=transparent]source 值相同,即容器在/run/secrets/<secret_name> 目录下访问密钥。
  • [backcolor=transparent]用户ID:拥有容器 /run/secrets/ 目录下的 secret 文件的用户 ID。默认为 0。
  • [backcolor=transparent]用户组ID:拥有容器 /run/secrets/ 目录下的 secret 文件的用户组 ID。默认为 0。
  • [backcolor=transparent]权限:将要挂载到容器/run/secrets/ 目录下的 secret 文件的权限。格式为八进制,例如:0444 表示全局可读。由于 secrets 是挂载在临时文件系统上的,所以 secrets 不可写;因此,如果您设置了可写位,系统会忽视您的设置。如果您不熟悉 UNIX 的权限模式,可以使用 Permission Calculator

此外,本示例中您还需要设置环境变量 MYSQL_ROOT_PASSWORD_FILE 来配置 MySQL 应用使用/run/secrets/my_mysql 文件作为 root 密码。

通过编排模板创建应用
有关如何创建应用,参见 创建应用
您可以使用 short syntax 或者 long syntax 来在编排模板中进行 secrets 的设置。

short syntax
使用 short syntax,您仅需要指定 secret 名称。容器服务会赋予容器访问 secret 的权限并将 secret 挂载到容器的/run/secrets/<secret_name> 目录。
本示例创建名为 [backcolor=transparent]mysqlshort 的应用。在编排模板中添加密钥的信息。本示例赋权应用使用两个 secrets:[backcolor=transparent]my_mysql_password_v1 和 [backcolor=transparent]my_secret_v1。

[backcolor=transparent]编排示例:
  1. [backcolor=transparent]version[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'3.2'
  2. [backcolor=transparent]services[backcolor=transparent]:
  3. [backcolor=transparent]  mysqlshort[backcolor=transparent]:
  4. [backcolor=transparent]    image[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'mysql:5.7'
  5. [backcolor=transparent]    deploy[backcolor=transparent]:
  6. [backcolor=transparent]      mode[backcolor=transparent]:[backcolor=transparent] replicated
  7. [backcolor=transparent]      replicas[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]1
  8. [backcolor=transparent]      update_config[backcolor=transparent]:
  9. [backcolor=transparent]        failure_action[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]continue
  10. [backcolor=transparent]      restart_policy[backcolor=transparent]:
  11. [backcolor=transparent]        condition[backcolor=transparent]:[backcolor=transparent] none
  12. [backcolor=transparent]    environment[backcolor=transparent]:
  13. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] MYSQL_ROOT_PASSWORD[backcolor=transparent]=[backcolor=transparent]/run/[backcolor=transparent]secrets[backcolor=transparent]/[backcolor=transparent]my_mysql_password_v1 [backcolor=transparent]#配置 MySQL 应用使用 /run/secrets/my_mysql_password_v1 文件作为 root 密码
  14. [backcolor=transparent]    secrets[backcolor=transparent]:
  15. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] my_mysql_password_v1 [backcolor=transparent]#您所创建的 secret 的名称
  16. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] my_secret_v1 [backcolor=transparent]#您所创建的 secret 的名称
  17. [backcolor=transparent]secrets[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]#对 secrets 进行声明
  18. [backcolor=transparent]  my_mysql_password_v1[backcolor=transparent]:
  19. [backcolor=transparent]    external[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]true
  20. [backcolor=transparent]  my_secret_v1[backcolor=transparent]:
  21. [backcolor=transparent]    external[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]true

您需要在编排模板中对 secrets 进行声明,否则 secrets 无法生效。其中, external:true 表示密钥已经创建了,容器服务不会尝试创建密钥而是寻找密钥并将其用于服务上。

long syntax
通过使用 long syntax,您可以指定 secrets 的相关参数。
本示例创建名为 [backcolor=transparent]mysqllong 的应用。在编排模板中添加密钥的信息。本示例赋权应用使用两个 secrets:[backcolor=transparent]my_mysql_password_v1 和 [backcolor=transparent]my_secret_v1。

[backcolor=transparent]编排示例:
  1. [backcolor=transparent]version[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'3.2'
  2. [backcolor=transparent]services[backcolor=transparent]:
  3. [backcolor=transparent]  mysqllong[backcolor=transparent]:
  4. [backcolor=transparent]    image[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'mysql:5.7'
  5. [backcolor=transparent]    deploy[backcolor=transparent]:
  6. [backcolor=transparent]      mode[backcolor=transparent]:[backcolor=transparent] replicated
  7. [backcolor=transparent]      replicas[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]1
  8. [backcolor=transparent]      update_config[backcolor=transparent]:
  9. [backcolor=transparent]        failure_action[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]continue
  10. [backcolor=transparent]      restart_policy[backcolor=transparent]:
  11. [backcolor=transparent]        condition[backcolor=transparent]:[backcolor=transparent] none
  12. [backcolor=transparent]    environment[backcolor=transparent]:
  13. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] MYSQL_ROOT_PASSWORD[backcolor=transparent]=[backcolor=transparent]/run/[backcolor=transparent]secrets[backcolor=transparent]/[backcolor=transparent]my_mysql[backcolor=transparent]#配置 MySQL 应用使用 /run/secrets/my_mysql_password_v1 文件作为 root 密码
  14. [backcolor=transparent]    secrets[backcolor=transparent]:
  15. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] source[backcolor=transparent]:[backcolor=transparent] my_mysql_password_v1 [backcolor=transparent]#您所创建的 secret 的名称
  16. [backcolor=transparent]        target[backcolor=transparent]:[backcolor=transparent] my_mysql
  17. [backcolor=transparent]        uid[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'0'
  18. [backcolor=transparent]        gid[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'0'
  19. [backcolor=transparent]        mode[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]444
  20. [backcolor=transparent]      [backcolor=transparent]-[backcolor=transparent] source[backcolor=transparent]:[backcolor=transparent] my_secret_v1 [backcolor=transparent]#您所创建的 secret 的名称
  21. [backcolor=transparent]        target[backcolor=transparent]:[backcolor=transparent] my_secret
  22. [backcolor=transparent]        uid[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'0'
  23. [backcolor=transparent]        gid[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]'0'
  24. [backcolor=transparent]        mode[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]444
  25. [backcolor=transparent]secrets[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]#对 secrets 进行声明
  26. [backcolor=transparent]  my_mysql_password_v1[backcolor=transparent]:
  27. [backcolor=transparent]    external[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]true
  28. [backcolor=transparent]  my_secret_v1[backcolor=transparent]:
  29. [backcolor=transparent]    external[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]true

其中:
  • [backcolor=transparent]source:您在容器服务中所创建的密钥的名称。
  • [backcolor=transparent]target:将要挂载到容器的 /run/secrets/ 目录下的文件的名称。默认情况下,与 [backcolor=transparent]source 值相同,即容器在/run/secrets/<secret_name> 目录下访问密钥。
  • [backcolor=transparent]uid:拥有容器 /run/secrets/ 目录下的 secret 文件的用户 ID。默认为 0。
  • [backcolor=transparent]gid:拥有容器 /run/secrets/ 目录下的 secret 文件的用户组 ID。默认为 0。
  • [backcolor=transparent]mode:将要挂载到容器 /run/secrets/ 目录下的 secret 文件的权限。格式为八进制,例如:0444 表示全局可读。由于 secrets 是挂载在临时文件系统上的,所以 secrets 不可写;因此,如果您设置了可写位,系统会忽视您的设置。如果您不熟悉 UNIX 的权限模式,可以使用 Permission Calculator

您需要在编排模板中对 secrets 进行声明,否则 secrets 无法生效。其中, external:true 表示密钥已经创建了,容器服务不会尝试创建密钥而是寻找密钥并将其用于服务上。

展开
收起
反向一觉 2017-10-30 14:51:04 1964 0
0 条回答
写回答
取消 提交回答
问答分类:
关系型数据库 MySQL Unix 数据安全/隐私保护 容器 容器计算服务 密钥管理服务 云数据库 RDS MySQL 版
问答标签:
密钥管理服务密钥 密钥管理服务mode swarm密钥管理服务 mode集群密钥管理服务密钥 swarm mode集群密钥管理服务密钥
问答地址:
开发者社区 > 数据库 > 问答

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
MaxCompute创建项目时加密的密钥不能选择BYOK
28
1
0
KMS在每个地域提供了一个免费的默认密钥, 秘钥为多少?
32
1
0
密钥管理服务RSA密钥如何同时支持ENCRYPT/DECRYPT和SIGN/VERIFY
31
1
0
大数据计算MaxCompute是不是可以按照上面的方式创建对称加密密钥用于kms存储加密?
90
1
0
seata注册到nacos,如果nacos开启kms密钥服务关联,seata应该怎么配置?
52
0
0
阿里云网盘与相册怎么让客户指定oss加密密钥?
165
2
0
DataWorks在做数据同步的时候,有没有直接根据密钥进行加密之后存储?
73
2
0
大数据计算MaxCompute 启用kms存储加密如果用mc的默认密钥,是不是免费的?
97
1
0
AK,SK是对称加密还是非对称加密?阿里在采用的是哪种密钥方式?加密标准和协议是什么?
739
1
0
PolarDB TDE加密是否支持密钥轮转
235
1
0
问答排行榜
最热
最新
1 【大咖问答】对话PostgreSQL 中国社区发起人之一,阿里云数据库高级专家 德哥 1819062
2 据说在家办公的程序员是这样写代码的? 1793217
3 阿里云开放端口权限 690311
4 如何升级配置 536310
5 【藏经阁一起读(27)】本周推荐《Apache Flink案例集(2022版)》,你有哪些心得? 522878
6 【精品问答】python技术1000问(1) 514141
7 Flink Forward Asia 2021 有奖问答 512922
8 OceanBase 使用动画(持续更新) 359386
9 阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本 329808
10 OSS存储服务-客户端工具 321605
11 为体验实验室取一个新名字。 307495
12 企业邮箱发送邮件时,若出现投递失败产生退信,内容提示包含如下: the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help 304110
13 Win Server 2003-2016 加密勒索事件必打补丁合集 295339
14 FLASH播放器,在IE浏览器下显示请确定您的域名已完成备案和CNAME绑定 284224
15 安全组详解,新手必看教程 277351
16 写code还是做管理,开发者如何进行职业规划? 269204
17 惊喜翻倍:免费ECS+免费环境配置~!(ECS免费体验6个月活动3月31日结束) 255886
18 阿里云手机和阿云浏览器连接问题专帖 235697
19 支付宝H5 下载的时候,提示 【请确保该下载文件来源安全,如需浏览,请长按网址复制后使用浏览器访问】 229343
20 请问阿里云邮箱如何开启SMTP服务啊! 225881
1 AI 编码助手能否引领编程革命?一起探索 AI 对研发流程的变革 354
2 AI新茶饮,是噱头还是未来? 774
3 开发者们需要如何打造属于自己的Plan B? 359
4 动机VS自律,对开发者们来说哪个比较重要? 468
5 AI音色克隆挑战播客,它能模拟人的特质吗? 1015
6 阿里云RDS mysql数据库show slave status信息疑问 361
7 求助:宜搭如何在请求数据源时传入参数 113
8 宜搭报表对日期字段赋值 255
9 求助:如何在宜搭自定义表单中获取普通表单子表单中的数据 181
10 AI生成海报or人工手绘,哪个更戳你? 2208
11 “AI +脱口秀”,笑点能靠算法去创造吗? 1109
12 宜搭配置更新花名册信息的连接器 244
13 请教:通过按钮打开另外一个表单,并把其中一个值传递给另一个表单的其中一个字段。 444
14 AI宠物更适合当代年轻人的陪伴需求吗? 1413
15 AI客服未来会完全代替人工吗? 1780
16 modelscope下载 的模型 如何转ollama 459
17 关于宜搭自定义页面循环数据渲染的问题。 115
18 “云+AI”能够孵化出多少可能? 1267
19 当AI频繁生成虚假信息,我们还能轻信大模型吗? 1206
20 使用免费证书后 服务器浏览器访问没有问题,外网访问 显示证书不可信,使用同一种浏览器哦 456
推荐问答
乘风问答官招募中!机械键盘免费拿

相关文章

  • 如何评估HTTP代理IP的性能?
  • 云上金融量化策略回测方案与最佳实践
  • 本地部署MES生产管理系统,贝锐花生壳快速实现安全远程访问
  • 推荐一款轻量级且强大的 Elasticsearch GUI : elasticvue

    • 相关电子书

    更多
    • 基于可信计算与加密计算 打造云上原生计算安全 立即下载
    \"视频服务特色解决方案——直播连麦与点播加密 \" 立即下载
    量子加密通信技术 立即下载

    相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
    186
    1.0小时
    去实验
  • RSA非对称加密算法
    442
    2.0小时
    去实验