Monter un volume secret dans Azure Container Instances
Vous pouvez utiliser un volume secret pour fournir des informations sensibles aux conteneurs d’un groupe de conteneurs. Le volume secret stocke vos secrets spécifiés dans les fichiers du volume, auxquels les conteneurs de votre groupe de conteneurs peuvent accéder. En stockant les secrets d’un volume secret, vous pouvez éviter de placer des données sensibles telles que des clés SSH ou des informations d’identification sur une base de données dans votre code d’application.
- Une fois déployé avec des secrets dans un groupe de conteneurs, un volume secret est en lecture seule.
- Tmpfs, un système de fichiers basé sur la RAM, sauvegarde tous les volumes secrets ; leur contenu n'est jamais écrit sur un stockage non volatil.
Remarque
Les volumes secrets sont actuellement restreints aux conteneurs Linux. Découvrez comment transmettre des variables d’environnement sécurisées pour les conteneurs Windows et Linux dans Définir des variables d’environnement. Nous travaillons actuellement à proposer toutes ces fonctionnalités dans des conteneurs Windows. En attendant, nous vous invitons à découvrir les différences actuelles de la plateforme dans la Vue d’ensemble.
Monter un volume secret : Azure CLI
Pour déployer un conteneur avec un ou plusieurs secrets à l’aide de l’interface Azure CLI, incluez les paramètres --secrets
et --secrets-mount-path
dans la commande az container create. Cet exemple monte un volume secret constitué de deux fichiers contenant des secrets, « mysecret1 » et « mysecret2 », sur /mnt/secrets
:
az container create \
--resource-group myResourceGroup \
--name secret-volume-demo \
--image mcr.microsoft.com/azuredocs/aci-helloworld \
--secrets mysecret1="My first secret FOO" mysecret2="My second secret BAR" \
--secrets-mount-path /mnt/secrets
La sortie de la commande az container exec suivante indique l’ouverture d’un interpréteur de commandes dans le conteneur en cours d’exécution, affichant les fichiers dans le volume secret, puis affiche leur contenu :
az container exec \
--resource-group myResourceGroup \
--name secret-volume-demo --exec-command "/bin/sh"
/usr/src/app # ls /mnt/secrets
mysecret1
mysecret2
/usr/src/app # cat /mnt/secrets/mysecret1
My first secret FOO
/usr/src/app # cat /mnt/secrets/mysecret2
My second secret BAR
/usr/src/app # exit
Bye.
Monter un volume secret : YAML
Vous pouvez également déployer des groupes de conteneurs avec Azure CLI et un modèle YAML. Le déploiement avec un modèle YAML est la méthode privilégiée lorsqu’il s’agit de déployer des groupes de conteneurs, composés de conteneurs multiples.
Lorsque vous déployez avec un modèle YAML, les valeurs de secret doivent être codées en Base64 dans le modèle. Toutefois, les valeurs de secret apparaissent en texte brut dans les fichiers du conteneur.
Le modèle YAML suivant définit un groupe de conteneurs avec un seul conteneur montant un volume secret sur /mnt/secrets
. Le volume secret a deux fichiers contenant des secrets, « mysecret1 » et « mysecret2 ».
apiVersion: '2019-12-01'
location: eastus
name: secret-volume-demo
properties:
containers:
- name: aci-tutorial-app
properties:
environmentVariables: []
image: mcr.microsoft.com/azuredocs/aci-helloworld:latest
ports: []
resources:
requests:
cpu: 1.0
memoryInGB: 1.5
volumeMounts:
- mountPath: /mnt/secrets
name: secretvolume1
osType: Linux
restartPolicy: Always
volumes:
- name: secretvolume1
secret:
mysecret1: TXkgZmlyc3Qgc2VjcmV0IEZPTwo=
mysecret2: TXkgc2Vjb25kIHNlY3JldCBCQVIK
tags: {}
type: Microsoft.ContainerInstance/containerGroups
Pour effectuer un déploiement avec le modèle YAML, enregistrez le YAML précédent dans un fichier nommé deploy-aci.yaml
, puis exécutez la commande az container create avec le paramètre --file
:
# Deploy with YAML template
az container create \
--resource-group myResourceGroup \
--file deploy-aci.yaml
Monter un volume secret : Gestionnaire des ressources
En plus du déploiement de l’interface CLI et de YAML, vous pouvez déployer un groupe de conteneurs à l’aide d’un modèle Resource Manager Azure.
Tout d’abord, remplissez le tableau volumes
dans la section properties
du groupe de conteneurs du modèle. Lorsque vous déployez avec un modèle Resource Manager, les valeurs du secret doivent être Codées en base64 dans le modèle. Toutefois, les valeurs de secret apparaissent en texte brut dans les fichiers du conteneur.
Ensuite, pour chaque conteneur du groupe de conteneurs dans lequel vous souhaitez monter le volume secret, remplissez le tableau volumeMounts
dans la section properties
de la définition de conteneur.
Le modèle Resource Manager suivant définit un groupe de conteneurs avec un conteneur montant un volume secret sur /mnt/secrets
. Le volume secret possède deux secrets, « mysecret1 » et « mysecret2 ».
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"variables": {
"container1name": "aci-tutorial-app",
"container1image": "microsoft/aci-helloworld:latest"
},
"resources": [
{
"type": "Microsoft.ContainerInstance/containerGroups",
"apiVersion": "2021-03-01",
"name": "secret-volume-demo",
"location": "[resourceGroup().location]",
"properties": {
"containers": [
{
"name": "[variables('container1name')]",
"properties": {
"image": "[variables('container1image')]",
"resources": {
"requests": {
"cpu": 1,
"memoryInGb": 1.5
}
},
"ports": [
{
"port": 80
}
],
"volumeMounts": [
{
"name": "secretvolume1",
"mountPath": "/mnt/secrets"
}
]
}
}
],
"osType": "Linux",
"ipAddress": {
"type": "Public",
"ports": [
{
"protocol": "tcp",
"port": "80"
}
]
},
"volumes": [
{
"name": "secretvolume1",
"secret": {
"mysecret1": "TXkgZmlyc3Qgc2VjcmV0IEZPTwo=",
"mysecret2": "TXkgc2Vjb25kIHNlY3JldCBCQVIK"
}
}
]
}
}
]
}
Pour effectuer un déploiement avec le modèle Resource Manager, enregistrez le JSON précédent dans un fichier nommé deploy-aci.json
, puis exécutez la commande az deployment group create avec le paramètre --template-file
:
# Deploy with Resource Manager template
az deployment group create \
--resource-group myResourceGroup \
--template-file deploy-aci.json
Étapes suivantes
Volumes
Découvrez comment monter d’autres types de volumes dans Azure Container Instances :
- Monter un partage de fichiers Azure dans Azure Container Instances
- Monter un volume emptyDir dans Azure Container Instances
- Monter un volume gitRepo dans Azure Container Instances
Protection des variables d’environnement
Une autre méthode permettant de fournir des informations sensibles aux conteneurs (y compris les conteneurs Windows) consiste à utiliser des variables d'environnement sécurisées..