使用 Docker Configs 儲存配置資料

關於配置

Docker swarm 服務配置允許您將非敏感資訊（例如配置檔案）儲存在服務映象或正在執行的容器之外。這使您可以儘可能地保持映象通用，而無需將配置檔案繫結掛載到容器中或使用環境變數。

配置的執行方式與秘鑰類似，不同之處在於它們在靜止時不加密，並且直接掛載到容器的檔案系統，而不使用 RAM 磁碟。配置可以隨時新增到服務或從服務中移除，並且服務可以共享配置。您甚至可以將配置與環境變數或標籤結合使用，以實現最大靈活性。配置值可以是通用字串或二進位制內容（大小高達 500 KB）。

注意
Docker 配置僅適用於 swarm 服務，不適用於獨立容器。要使用此功能，請考慮將您的容器修改為以 scale 為 1 的服務執行。

Linux 和 Windows 服務都支援配置。

Windows 支援

Docker 包含了對 Windows 容器配置的支援，但實現方式存在差異，這將在下面的示例中指出。請記住以下顯著差異：

具有自定義目標的配置檔案不會直接繫結掛載到 Windows 容器中，因為 Windows 不支援非目錄檔案繫結掛載。相反，容器的配置都掛載在容器內的 C:\ProgramData\Docker\internal\configs（一個不應被應用程式依賴的實現細節）中。符號連結用於從那裡指向容器內配置的所需目標。預設目標是 C:\ProgramData\Docker\configs。
在建立使用 Windows 容器的服務時，配置不支援指定 UID、GID 和模式的選項。目前，配置僅可由容器內的管理員和具有 system 訪問許可權的使用者訪問。
在 Windows 上，使用 --credential-spec 和 config://<config-name> 格式建立或更新服務。這會在容器啟動前將 gMSA 憑據檔案直接傳遞給節點。工作節點上不會將 gMSA 憑據寫入磁碟。有關更多資訊，請參閱將服務部署到 Swarm。

Docker 如何管理配置

當您將配置新增到 swarm 時，Docker 透過相互 TLS 連線將配置傳送到 swarm 管理器。配置儲存在 Raft 日誌中，該日誌已加密。整個 Raft 日誌在其他管理器之間複製，確保配置具有與其餘 swarm 管理資料相同的高可用性保證。

當您授予新建立或正在執行的服務訪問配置的許可權時，配置會作為檔案掛載到容器中。在 Linux 容器中，容器內掛載點的預設位置是 /<config-name>。在 Windows 容器中，所有配置都掛載到 C:\ProgramData\Docker\configs，並建立符號連結到所需位置，預設為 C:\<config-name>。

您可以使用數字 ID 或使用者或組的名稱來設定配置的所有權（uid 和 gid）。您還可以指定檔案許可權（mode）。這些設定對於 Windows 容器會被忽略。

如果未設定，配置歸執行容器命令的使用者（通常是 root）和該使用者的預設組（通常也是 root）所有。
如果未設定，配置具有世界可讀許可權（模式 0444），除非容器內設定了 umask，在這種情況下，模式會受該 umask 值的影響。

您可以隨時更新服務以授予其訪問額外配置的許可權或撤銷其對給定配置的訪問許可權。

僅當節點是 swarm 管理器，或者它正在執行已獲得配置訪問許可權的服務任務時，節點才能訪問配置。當容器任務停止執行時，共享給它的配置將從該容器的記憶體檔案系統中解除安裝，並從節點的記憶體中清除。

如果節點在執行具有配置訪問許可權的任務容器時失去與 swarm 的連線，任務容器仍可訪問其配置，但在重新連線到 swarm 之前無法接收更新。

您可以隨時新增或檢查單個配置，或列出所有配置。您不能刪除正在執行的服務正在使用的配置。請參閱輪換配置，瞭解如何在不中斷正在執行的服務的情況下刪除配置。

為了更容易地更新或回滾配置，請考慮在配置名稱中新增版本號或日期。透過控制配置在給定容器中的掛載點，這變得更加容易。

要更新堆疊，請更改您的 Compose 檔案，然後重新執行 docker stack deploy -c <new-compose-file> <stack-name>。如果您在該檔案中使用新配置，您的服務將開始使用它們。請記住，配置是不可變的，因此您不能更改現有服務的檔案。相反，您建立一個新配置以使用不同的檔案。

您可以執行 docker stack rm 來停止應用程式並關閉堆疊。這會刪除由 docker stack deploy 使用相同堆疊名稱建立的任何配置。這會刪除所有配置，包括那些未被服務引用的配置以及在 docker service update --config-rm 後剩餘的配置。

示例

本節包含逐步示例，說明如何使用 Docker 配置。

注意
為簡單起見，這些示例使用單引擎 swarm 和未縮放的服務。這些示例使用 Linux 容器，但 Windows 容器也支援配置。

在 Compose 檔案中定義和使用配置

docker stack 命令支援在 Compose 檔案中定義配置。但是，docker compose 不支援 configs 鍵。有關詳細資訊，請參閱Compose 檔案參考。

簡單示例：開始使用配置

這個簡單的示例僅用幾個命令就展示了配置的工作原理。有關真實世界的示例，請繼續閱讀高階示例：將配置與 Nginx 服務一起使用。

將配置新增到 Docker。docker config create 命令讀取標準輸入，因為表示要讀取配置的檔案的最後一個引數設定為 -。
$ echo "This is a config" | docker config create my-config -
建立 redis 服務並授予其訪問配置的許可權。預設情況下，容器可以透過 /my-config 訪問配置，但您可以使用 target 選項自定義容器上的檔名。
$ docker service create --name redis --config my-config redis:alpine

使用 docker service ps 驗證任務是否正常執行。如果一切正常，輸出將類似於以下內容：

$ docker service ps redis

ID            NAME     IMAGE         NODE              DESIRED STATE  CURRENT STATE          ERROR  PORTS
bkna6bpn8r1a  redis.1  redis:alpine  ip-172-31-46-109  Running        Running 8 seconds ago

使用 docker ps 獲取 redis 服務任務容器的 ID，以便您可以使用 docker container exec 連線到容器並讀取配置資料檔案的內容，該檔案預設為所有人可讀，並且與配置的名稱相同。下面的第一個命令說明了如何查詢容器 ID，第二個和第三個命令使用 shell 補全自動完成此操作。
$ docker ps --filter name=redis -q 5cb1c2348a59 $ docker container exec $(docker ps --filter name=redis -q) ls -l /my-config -r--r--r-- 1 root root 12 Jun 5 20:49 my-config $ docker container exec $(docker ps --filter name=redis -q) cat /my-config This is a config

嘗試刪除配置。刪除失敗，因為 redis 服務正在執行並具有訪問配置的許可權。


$ docker config ls

ID                          NAME                CREATED             UPDATED
fzwcfuqjkvo5foqu7ts7ls578   hello               31 minutes ago      31 minutes ago


$ docker config rm my-config

Error response from daemon: rpc error: code = 3 desc = config 'my-config' is
in use by the following service: redis

透過更新服務，從正在執行的 redis 服務中刪除對配置的訪問許可權。
$ docker service update --config-rm my-config redis
再次重複步驟 3 和 4，驗證服務不再具有對配置的訪問許可權。容器 ID 不同，因為 service update 命令重新部署了服務。
$ docker container exec -it $(docker ps --filter name=redis -q) cat /my-config cat: can't open '/my-config': No such file or directory

停止並刪除服務，並從 Docker 中刪除配置。

$ docker service rm redis

$ docker config rm my-config

簡單示例：在 Windows 服務中使用配置

這是一個非常簡單的示例，展示瞭如何在 Docker for Windows 上執行 Windows 容器的 Microsoft Windows 10 上使用配置和 Microsoft IIS 服務。這是一個天真的示例，將網頁儲存在配置中。

此示例假定您已安裝 PowerShell。

將以下內容儲存到一個新檔案 index.html 中。

<html lang="en">
  <head><title>Hello Docker</title></head>
  <body>
    <p>Hello Docker! You have deployed a HTML page.</p>
  </body>
</html>

如果您尚未執行此操作，請初始化或加入 swarm。
docker swarm init
將 index.html 檔案儲存為名為 homepage 的 swarm 配置。
docker config create homepage index.html

建立一個 IIS 服務並授予它訪問 homepage 配置的許可權。

docker service create
    --name my-iis
    --publish published=8000,target=8000
    --config src=homepage,target="\inetpub\wwwroot\index.html"
    microsoft/iis:nanoserver

訪問 https://:8000/ 處的 IIS 服務。它應該提供第一步中的 HTML 內容。

刪除服務和配置。

docker service rm my-iis

docker config rm homepage

示例：使用模板化配置

要建立內容將使用模板引擎生成的配置，請使用 --template-driver 引數並將其引數指定為引擎名稱。模板將在建立容器時渲染。

將以下內容儲存到新檔案 index.html.tmpl 中。

<html lang="en">
  <head><title>Hello Docker</title></head>
  <body>
    <p>Hello {{ env "HELLO" }}! I'm service {{ .Service.Name }}.</p>
  </body>
</html>

將 index.html.tmpl 檔案儲存為名為 homepage 的 swarm 配置。提供引數 --template-driver 並指定 golang 作為模板引擎。
$ docker config create --template-driver golang homepage index.html.tmpl

建立執行 Nginx 並有權訪問環境變數 HELLO 和配置的服務。

$ docker service create \
     --name hello-template \
     --env HELLO="Docker" \
     --config source=homepage,target=/usr/share/nginx/html/index.html \
     --publish published=3000,target=80 \
     nginx:alpine

驗證服務是否正常執行：您可以訪問 Nginx 伺服器，並且正在提供正確的輸出。

$ curl http://0.0.0.0:3000

<html lang="en">
  <head><title>Hello Docker</title></head>
  <body>
    <p>Hello Docker! I'm service hello-template.</p>
  </body>
</html>

高階示例：將配置與 Nginx 服務一起使用

此示例分為兩部分。第一部分是關於生成站點證書，根本不直接涉及 Docker 配置，但它為第二部分奠定了基礎，其中您將站點證書儲存並用作一系列秘密，並將 Nginx 配置用作配置。該示例展示瞭如何設定配置選項，例如容器內的目標位置和檔案許可權（mode）。

為您的站點生成根 CA 和 TLS 證書和金鑰。對於生產站點，您可能希望使用 Let's Encrypt 等服務來生成 TLS 證書和金鑰，但此示例使用命令列工具。此步驟有點複雜，但只是一個設定步驟，以便您可以將某些內容儲存為 Docker 秘鑰。如果您想跳過這些子步驟，可以使用 Let's Encrypt 來生成站點金鑰和證書，將檔案命名為 site.key 和 site.crt，然後跳到配置 Nginx 容器。

生成根金鑰。

$ openssl genrsa -out "root-ca.key" 4096

使用根金鑰生成 CSR。

$ openssl req \
          -new -key "root-ca.key" \
          -out "root-ca.csr" -sha256 \
          -subj '/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA'

配置根 CA。編輯一個名為 root-ca.cnf 的新檔案，並將以下內容貼上到其中。這限制了根 CA 只能簽署葉證書，而不能簽署中間 CA。
[root_ca] basicConstraints = critical,CA:TRUE,pathlen:1 keyUsage = critical, nonRepudiation, cRLSign, keyCertSign subjectKeyIdentifier=hash

簽署證書。

$ openssl x509 -req -days 3650 -in "root-ca.csr" \
               -signkey "root-ca.key" -sha256 -out "root-ca.crt" \
               -extfile "root-ca.cnf" -extensions \
               root_ca

生成站點金鑰。
$ openssl genrsa -out "site.key" 4096

生成站點證書並使用站點金鑰進行簽署。

$ openssl req -new -key "site.key" -out "site.csr" -sha256 \
          -subj '/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost'

配置站點證書。編輯一個名為 site.cnf 的新檔案，並將以下內容貼上到其中。這限制了站點證書，使其只能用於驗證伺服器，不能用於簽署證書。

[server]
authorityKeyIdentifier=keyid,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage=serverAuth
keyUsage = critical, digitalSignature, keyEncipherment
subjectAltName = DNS:localhost, IP:127.0.0.1
subjectKeyIdentifier=hash

簽署站點證書。

$ openssl x509 -req -days 750 -in "site.csr" -sha256 \
    -CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial \
    -out "site.crt" -extfile "site.cnf" -extensions server

Nginx 服務不需要 site.csr 和 site.cnf 檔案，但如果您想生成新的站點證書，則需要它們。保護 root-ca.key 檔案。

配置 Nginx 容器

生成一個非常基本的 Nginx 配置，透過 HTTPS 提供靜態檔案。TLS 證書和金鑰作為 Docker 秘鑰儲存，以便可以輕鬆輪換。

在當前目錄中，建立一個名為 site.conf 的新檔案，其內容如下：

server {
    listen                443 ssl;
    server_name           localhost;
    ssl_certificate       /run/secrets/site.crt;
    ssl_certificate_key   /run/secrets/site.key;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

建立兩個秘密，分別代表金鑰和證書。您可以將任何檔案儲存為秘密，只要它小於 500 KB。這允許您將金鑰和證書與使用它們的服務解耦。在這些示例中，秘密名稱和檔名相同。
$ docker secret create site.key site.key $ docker secret create site.crt site.crt

將 site.conf 檔案儲存在 Docker 配置中。第一個引數是配置的名稱，第二個引數是要讀取的檔案。

$ docker config create site.conf site.conf

列出配置

$ docker config ls

ID                          NAME                CREATED             UPDATED
4ory233120ccg7biwvy11gl5z   site.conf           4 seconds ago       4 seconds ago

建立執行 Nginx 並有權訪問兩個秘密和配置的服務。將模式設定為 0440，以便檔案只能由其所有者和所有者的組讀取，而不能由所有人讀取。

$ docker service create \
     --name nginx \
     --secret site.key \
     --secret site.crt \
     --config source=site.conf,target=/etc/nginx/conf.d/site.conf,mode=0440 \
     --publish published=3000,target=443 \
     nginx:latest \
     sh -c "exec nginx -g 'daemon off;'"

在正在執行的容器中，現在存在以下三個檔案：

/run/secrets/site.key
/run/secrets/site.crt
/etc/nginx/conf.d/site.conf

驗證 Nginx 服務正在執行。

$ docker service ls

ID            NAME   MODE        REPLICAS  IMAGE
zeskcec62q24  nginx  replicated  1/1       nginx:latest

$ docker service ps nginx

NAME                  IMAGE         NODE  DESIRED STATE  CURRENT STATE          ERROR  PORTS
nginx.1.9ls3yo9ugcls  nginx:latest  moby  Running        Running 3 minutes ago

驗證服務是否正常執行：您可以訪問 Nginx 伺服器，並且正在使用正確的 TLS 證書。

$ curl --cacert root-ca.crt https://0.0.0.0:3000

<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support, refer to
<a href="https://nginx.org">nginx.org</a>.<br/>
Commercial support is available at
<a href="https://www.nginx.com">www.nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

$ openssl s_client -connect 0.0.0.0:3000 -CAfile root-ca.crt

CONNECTED(00000003)
depth=1 /C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA
verify return:1
depth=0 /C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost
verify return:1
---
Certificate chain
 0 s:/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost
   i:/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA
---
Server certificate
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
subject=/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost
issuer=/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA
---
No client certificate CA names sent
---
SSL handshake has read 1663 bytes and written 712 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: A1A8BF35549C5715648A12FD7B7E3D861539316B03440187D9DA6C2E48822853
    Session-ID-ctx:
    Master-Key: F39D1B12274BA16D3A906F390A61438221E381952E9E1E05D3DD784F0135FB81353DA38C6D5C021CB926E844DFC49FC4
    Key-Arg   : None
    Start Time: 1481685096
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

除非您要繼續下一個示例，否則請在執行此示例後透過刪除 nginx 服務以及儲存的秘鑰和配置來清理。
$ docker service rm nginx $ docker secret rm site.crt site.key $ docker config rm site.conf

您現在已配置了一個 Nginx 服務，其配置與其映象解耦。您可以使用完全相同的映象執行多個站點，但配置不同，而無需構建自定義映象。

示例：輪換配置

要輪換配置，您首先儲存一個新配置，其名稱與當前使用的配置不同。然後，重新部署服務，刪除舊配置並在容器內相同的掛載點新增新配置。此示例在前一個示例的基礎上，透過輪換 site.conf 配置檔案。

在本地編輯 site.conf 檔案。在 index 行新增 index.php，然後儲存檔案。

server {
    listen                443 ssl;
    server_name           localhost;
    ssl_certificate       /run/secrets/site.crt;
    ssl_certificate_key   /run/secrets/site.key;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm index.php;
    }
}

使用新的 site.conf 建立一個新的 Docker 配置，名為 site-v2.conf。
```
$ docker config create site-v2.conf site.conf
```

更新 nginx 服務以使用新配置而不是舊配置。

$ docker service update \
  --config-rm site.conf \
  --config-add source=site-v2.conf,target=/etc/nginx/conf.d/site.conf,mode=0440 \
  nginx

使用 docker service ps nginx 驗證 nginx 服務是否已完全重新部署。完成後，您可以刪除舊的 site.conf 配置。
$ docker config rm site.conf

要清理，您可以刪除 nginx 服務以及秘密和配置。

$ docker service rm nginx

$ docker secret rm site.crt site.key

$ docker config rm site-v2.conf

您現在已更新 nginx 服務的配置，而無需重建其映象。