Podman -如何使用Podman3.0维护秘密

Question

使用Podman3.0存储敏感数据的最佳实践是什么。从Podman3.1看来，我们有Podman，它提供了创建和管理机密文件的能力。3.0的方法是什么？

Answer 1

据我所知，没有一般的最佳实践，因为设置可能是多么不同。你需要的安全性取决于你想要保护的东西有多值钱。系统的需求和体系结构也非常重要，包括您是否使用云供应商和业务流程。

我假设您正在可信机器上试验一个简单的应用程序，在这种情况下，使用卷(即podman run -v $(pwd)/.env:/app/.env my-app )挂载秘密似乎是可以接受的。这意味着这个秘密包含在您的主机上。换句话说，您的秘密从未在容器映像中公开，因此您不会意外地泄露公开可用的存储库中的任何内容。如果您的设置更加复杂，请更新您的问题，使之更加具体。

请注意，如果您正在运行SELinux，您的容器可能没有对该秘密的访问权限。在这种情况下，添加:Z、:z或--privileged。请参阅例如，this question更多的细节，并注意不要安装任何可能被重新命名的任何东西，例如，.ssh。