gpt4 book ai didi

amazon-ecs - 在ECS上将RDS密码获取到Docker容器的最佳实践

转载 作者:行者123 更新时间:2023-12-04 09:58:36 30 4
gpt4 key购买 nike

我正在使用Postgres Amazon RDS和Amazon ECS运行我的Docker容器。
问题是。将RDS数据库的用户名和密码放入ECS上运行的docker容器的最佳实践是什么?

我看到一些选择:

  • 将凭据构建​​到docker镜像中。我不喜欢这样,因为这样每个有权访问该图像的人都可以获取密码。
  • 将凭据放入ECS自动伸缩组使用的启动配置的用户数据中。通过这种方法,在我的ECS群集上运行的所有docker镜像都可以访问凭据。我也不是很喜欢这样,如果黑帽在我的任何服务(甚至不使用数据库的服务)中发现安全漏洞,他将能够获取数据库的凭据。
  • 将凭据放入S3中​​,并使用ECS服务器具有的IAM角色来限制对该存储桶的访问。与将它们放入用户数据的缺点相同。
  • 将凭据放入ECS的任务定义中。我在这里没有看到任何缺点。

  • 您对执行此操作的最佳方式有何看法?我有错过任何选择吗?

    问候,
    托比亚斯

    最佳答案

    永远不要建议将其构建到容器中。使其难以分发和更改。

    将其放入ECS实例并不能帮助您的容器使用它。它们是孤立的,您最终将在所有实例上使用它们,而不仅仅是需要它们的容器所在的位置。

    将它们放入S3意味着您必须将该功能写入容器。这是进行配置的另一个地方。

    建议将它们放入您的任务定义中。您可以为此使用environment部分。它很灵活。这也是诸如Heroku和Elastic Beanstalk之类的PaaS产品如何将DB连接字符串用于Ruby on Rails和其他服务的方法。最后一个好处是,它可以轻松地针对不同的数据库(例如,开发,测试,生产)使用您的容器,而无需重建容器或构建怪异的功能

    关于amazon-ecs - 在ECS上将RDS密码获取到Docker容器的最佳实践,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37133437/

    30 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com