使用 Docker Configs 存储配置数据

关于配置

Docker swarm 服务配置允许您将非敏感信息（例如配置文件）存储在服务镜像或正在运行的容器之外。这使您可以尽可能地保持镜像通用，而无需将配置文件绑定挂载到容器中或使用环境变量。

配置的运行方式与秘钥类似，不同之处在于它们在静止时不加密，并且直接挂载到容器的文件系统，而不使用 RAM 磁盘。配置可以随时添加到服务或从服务中移除，并且服务可以共享配置。您甚至可以将配置与环境变量或标签结合使用，以实现最大灵活性。配置值可以是通用字符串或二进制内容（大小高达 500 KB）。

注意
Docker 配置仅适用于 swarm 服务，不适用于独立容器。要使用此功能，请考虑将您的容器修改为以 scale 为 1 的服务运行。

Linux 和 Windows 服务都支持配置。

Windows 支持

Docker 包含了对 Windows 容器配置的支持，但实现方式存在差异，这将在下面的示例中指出。请记住以下显著差异：

具有自定义目标的配置文件不会直接绑定挂载到 Windows 容器中，因为 Windows 不支持非目录文件绑定挂载。相反，容器的配置都挂载在容器内的 C:\ProgramData\Docker\internal\configs（一个不应被应用程序依赖的实现细节）中。符号链接用于从那里指向容器内配置的所需目标。默认目标是 C:\ProgramData\Docker\configs。
在创建使用 Windows 容器的服务时，配置不支持指定 UID、GID 和模式的选项。目前，配置仅可由容器内的管理员和具有 system 访问权限的用户访问。
在 Windows 上，使用 --credential-spec 和 config://<config-name> 格式创建或更新服务。这会在容器启动前将 gMSA 凭据文件直接传递给节点。工作节点上不会将 gMSA 凭据写入磁盘。有关更多信息，请参阅将服务部署到 Swarm。

Docker 如何管理配置

当您将配置添加到 swarm 时，Docker 通过相互 TLS 连接将配置发送到 swarm 管理器。配置存储在 Raft 日志中，该日志已加密。整个 Raft 日志在其他管理器之间复制，确保配置具有与其余 swarm 管理数据相同的高可用性保证。

当您授予新创建或正在运行的服务访问配置的权限时，配置会作为文件挂载到容器中。在 Linux 容器中，容器内挂载点的默认位置是 /<config-name>。在 Windows 容器中，所有配置都挂载到 C:\ProgramData\Docker\configs，并创建符号链接到所需位置，默认为 C:\<config-name>。

您可以使用数字 ID 或用户或组的名称来设置配置的所有权（uid 和 gid）。您还可以指定文件权限（mode）。这些设置对于 Windows 容器会被忽略。

如果未设置，配置归运行容器命令的用户（通常是 root）和该用户的默认组（通常也是 root）所有。
如果未设置，配置具有世界可读权限（模式 0444），除非容器内设置了 umask，在这种情况下，模式会受该 umask 值的影响。

您可以随时更新服务以授予其访问额外配置的权限或撤销其对给定配置的访问权限。

仅当节点是 swarm 管理器，或者它正在运行已获得配置访问权限的服务任务时，节点才能访问配置。当容器任务停止运行时，共享给它的配置将从该容器的内存文件系统中卸载，并从节点的内存中清除。

如果节点在运行具有配置访问权限的任务容器时失去与 swarm 的连接，任务容器仍可访问其配置，但在重新连接到 swarm 之前无法接收更新。

您可以随时添加或检查单个配置，或列出所有配置。您不能删除正在运行的服务正在使用的配置。请参阅轮换配置，了解如何在不中断正在运行的服务的情况下删除配置。

为了更容易地更新或回滚配置，请考虑在配置名称中添加版本号或日期。通过控制配置在给定容器中的挂载点，这变得更加容易。

要更新堆栈，请更改您的 Compose 文件，然后重新运行 docker stack deploy -c <new-compose-file> <stack-name>。如果您在该文件中使用新配置，您的服务将开始使用它们。请记住，配置是不可变的，因此您不能更改现有服务的文件。相反，您创建一个新配置以使用不同的文件。

您可以运行 docker stack rm 来停止应用程序并关闭堆栈。这会删除由 docker stack deploy 使用相同堆栈名称创建的任何配置。这会删除所有配置，包括那些未被服务引用的配置以及在 docker service update --config-rm 后剩余的配置。

示例

本节包含逐步示例，说明如何使用 Docker 配置。

注意
为简单起见，这些示例使用单引擎 swarm 和未缩放的服务。这些示例使用 Linux 容器，但 Windows 容器也支持配置。

在 Compose 文件中定义和使用配置

docker stack 命令支持在 Compose 文件中定义配置。但是，docker compose 不支持 configs 键。有关详细信息，请参阅Compose 文件参考。

简单示例：开始使用配置

这个简单的示例仅用几个命令就展示了配置的工作原理。有关真实世界的示例，请继续阅读高级示例：将配置与 Nginx 服务一起使用。

将配置添加到 Docker。docker config create 命令读取标准输入，因为表示要读取配置的文件的最后一个参数设置为 -。
$ echo "This is a config" | docker config create my-config -
创建 redis 服务并授予其访问配置的权限。默认情况下，容器可以通过 /my-config 访问配置，但您可以使用 target 选项自定义容器上的文件名。
$ docker service create --name redis --config my-config redis:alpine

使用 docker service ps 验证任务是否正常运行。如果一切正常，输出将类似于以下内容：

$ docker service ps redis

ID            NAME     IMAGE         NODE              DESIRED STATE  CURRENT STATE          ERROR  PORTS
bkna6bpn8r1a  redis.1  redis:alpine  ip-172-31-46-109  Running        Running 8 seconds ago

使用 docker ps 获取 redis 服务任务容器的 ID，以便您可以使用 docker container exec 连接到容器并读取配置数据文件的内容，该文件默认为所有人可读，并且与配置的名称相同。下面的第一个命令说明了如何查找容器 ID，第二个和第三个命令使用 shell 补全自动完成此操作。
$ docker ps --filter name=redis -q 5cb1c2348a59 $ docker container exec $(docker ps --filter name=redis -q) ls -l /my-config -r--r--r-- 1 root root 12 Jun 5 20:49 my-config $ docker container exec $(docker ps --filter name=redis -q) cat /my-config This is a config

尝试删除配置。删除失败，因为 redis 服务正在运行并具有访问配置的权限。


$ docker config ls

ID                          NAME                CREATED             UPDATED
fzwcfuqjkvo5foqu7ts7ls578   hello               31 minutes ago      31 minutes ago


$ docker config rm my-config

Error response from daemon: rpc error: code = 3 desc = config 'my-config' is
in use by the following service: redis

通过更新服务，从正在运行的 redis 服务中删除对配置的访问权限。
$ docker service update --config-rm my-config redis
再次重复步骤 3 和 4，验证服务不再具有对配置的访问权限。容器 ID 不同，因为 service update 命令重新部署了服务。
$ docker container exec -it $(docker ps --filter name=redis -q) cat /my-config cat: can't open '/my-config': No such file or directory

停止并删除服务，并从 Docker 中删除配置。

$ docker service rm redis

$ docker config rm my-config

简单示例：在 Windows 服务中使用配置

这是一个非常简单的示例，展示了如何在 Docker for Windows 上运行 Windows 容器的 Microsoft Windows 10 上使用配置和 Microsoft IIS 服务。这是一个天真的示例，将网页存储在配置中。

此示例假定您已安装 PowerShell。

将以下内容保存到一个新文件 index.html 中。

<html lang="en">
  <head><title>Hello Docker</title></head>
  <body>
    <p>Hello Docker! You have deployed a HTML page.</p>
  </body>
</html>

如果您尚未执行此操作，请初始化或加入 swarm。
docker swarm init
将 index.html 文件保存为名为 homepage 的 swarm 配置。
docker config create homepage index.html

创建一个 IIS 服务并授予它访问 homepage 配置的权限。

docker service create
    --name my-iis
    --publish published=8000,target=8000
    --config src=homepage,target="\inetpub\wwwroot\index.html"
    microsoft/iis:nanoserver

访问 https://:8000/ 处的 IIS 服务。它应该提供第一步中的 HTML 内容。

删除服务和配置。

docker service rm my-iis

docker config rm homepage

示例：使用模板化配置

要创建内容将使用模板引擎生成的配置，请使用 --template-driver 参数并将其参数指定为引擎名称。模板将在创建容器时渲染。

将以下内容保存到新文件 index.html.tmpl 中。

<html lang="en">
  <head><title>Hello Docker</title></head>
  <body>
    <p>Hello {{ env "HELLO" }}! I'm service {{ .Service.Name }}.</p>
  </body>
</html>

将 index.html.tmpl 文件保存为名为 homepage 的 swarm 配置。提供参数 --template-driver 并指定 golang 作为模板引擎。
$ docker config create --template-driver golang homepage index.html.tmpl

创建运行 Nginx 并有权访问环境变量 HELLO 和配置的服务。

$ docker service create \
     --name hello-template \
     --env HELLO="Docker" \
     --config source=homepage,target=/usr/share/nginx/html/index.html \
     --publish published=3000,target=80 \
     nginx:alpine

验证服务是否正常运行：您可以访问 Nginx 服务器，并且正在提供正确的输出。

$ curl http://0.0.0.0:3000

<html lang="en">
  <head><title>Hello Docker</title></head>
  <body>
    <p>Hello Docker! I'm service hello-template.</p>
  </body>
</html>

高级示例：将配置与 Nginx 服务一起使用

此示例分为两部分。第一部分是关于生成站点证书，根本不直接涉及 Docker 配置，但它为第二部分奠定了基础，其中您将站点证书存储并用作一系列秘密，并将 Nginx 配置用作配置。该示例展示了如何设置配置选项，例如容器内的目标位置和文件权限（mode）。

为您的站点生成根 CA 和 TLS 证书和密钥。对于生产站点，您可能希望使用 Let's Encrypt 等服务来生成 TLS 证书和密钥，但此示例使用命令行工具。此步骤有点复杂，但只是一个设置步骤，以便您可以将某些内容存储为 Docker 秘钥。如果您想跳过这些子步骤，可以使用 Let's Encrypt 来生成站点密钥和证书，将文件命名为 site.key 和 site.crt，然后跳到配置 Nginx 容器。

生成根密钥。

$ openssl genrsa -out "root-ca.key" 4096

使用根密钥生成 CSR。

$ openssl req \
          -new -key "root-ca.key" \
          -out "root-ca.csr" -sha256 \
          -subj '/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA'

配置根 CA。编辑一个名为 root-ca.cnf 的新文件，并将以下内容粘贴到其中。这限制了根 CA 只能签署叶证书，而不能签署中间 CA。
[root_ca] basicConstraints = critical,CA:TRUE,pathlen:1 keyUsage = critical, nonRepudiation, cRLSign, keyCertSign subjectKeyIdentifier=hash

签署证书。

$ openssl x509 -req -days 3650 -in "root-ca.csr" \
               -signkey "root-ca.key" -sha256 -out "root-ca.crt" \
               -extfile "root-ca.cnf" -extensions \
               root_ca

生成站点密钥。
$ openssl genrsa -out "site.key" 4096

生成站点证书并使用站点密钥进行签署。

$ openssl req -new -key "site.key" -out "site.csr" -sha256 \
          -subj '/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost'

配置站点证书。编辑一个名为 site.cnf 的新文件，并将以下内容粘贴到其中。这限制了站点证书，使其只能用于验证服务器，不能用于签署证书。

[server]
authorityKeyIdentifier=keyid,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage=serverAuth
keyUsage = critical, digitalSignature, keyEncipherment
subjectAltName = DNS:localhost, IP:127.0.0.1
subjectKeyIdentifier=hash

签署站点证书。

$ openssl x509 -req -days 750 -in "site.csr" -sha256 \
    -CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial \
    -out "site.crt" -extfile "site.cnf" -extensions server

Nginx 服务不需要 site.csr 和 site.cnf 文件，但如果您想生成新的站点证书，则需要它们。保护 root-ca.key 文件。

配置 Nginx 容器

生成一个非常基本的 Nginx 配置，通过 HTTPS 提供静态文件。TLS 证书和密钥作为 Docker 秘钥存储，以便可以轻松轮换。

在当前目录中，创建一个名为 site.conf 的新文件，其内容如下：

server {
    listen                443 ssl;
    server_name           localhost;
    ssl_certificate       /run/secrets/site.crt;
    ssl_certificate_key   /run/secrets/site.key;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

创建两个秘密，分别代表密钥和证书。您可以将任何文件存储为秘密，只要它小于 500 KB。这允许您将密钥和证书与使用它们的服务解耦。在这些示例中，秘密名称和文件名相同。
$ docker secret create site.key site.key $ docker secret create site.crt site.crt

将 site.conf 文件保存在 Docker 配置中。第一个参数是配置的名称，第二个参数是要读取的文件。

$ docker config create site.conf site.conf

列出配置

$ docker config ls

ID                          NAME                CREATED             UPDATED
4ory233120ccg7biwvy11gl5z   site.conf           4 seconds ago       4 seconds ago

创建运行 Nginx 并有权访问两个秘密和配置的服务。将模式设置为 0440，以便文件只能由其所有者和所有者的组读取，而不能由所有人读取。

$ docker service create \
     --name nginx \
     --secret site.key \
     --secret site.crt \
     --config source=site.conf,target=/etc/nginx/conf.d/site.conf,mode=0440 \
     --publish published=3000,target=443 \
     nginx:latest \
     sh -c "exec nginx -g 'daemon off;'"

在正在运行的容器中，现在存在以下三个文件：

/run/secrets/site.key
/run/secrets/site.crt
/etc/nginx/conf.d/site.conf

验证 Nginx 服务正在运行。

$ docker service ls

ID            NAME   MODE        REPLICAS  IMAGE
zeskcec62q24  nginx  replicated  1/1       nginx:latest

$ docker service ps nginx

NAME                  IMAGE         NODE  DESIRED STATE  CURRENT STATE          ERROR  PORTS
nginx.1.9ls3yo9ugcls  nginx:latest  moby  Running        Running 3 minutes ago

验证服务是否正常运行：您可以访问 Nginx 服务器，并且正在使用正确的 TLS 证书。

$ curl --cacert root-ca.crt https://0.0.0.0:3000

<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support, refer to
<a href="https://nginx.ac.cn">nginx.org</a>.<br/>
Commercial support is available at
<a href="https://www.nginx.com">www.nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

$ openssl s_client -connect 0.0.0.0:3000 -CAfile root-ca.crt

CONNECTED(00000003)
depth=1 /C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA
verify return:1
depth=0 /C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost
verify return:1
---
Certificate chain
 0 s:/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost
   i:/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA
---
Server certificate
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
subject=/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost
issuer=/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA
---
No client certificate CA names sent
---
SSL handshake has read 1663 bytes and written 712 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: A1A8BF35549C5715648A12FD7B7E3D861539316B03440187D9DA6C2E48822853
    Session-ID-ctx:
    Master-Key: F39D1B12274BA16D3A906F390A61438221E381952E9E1E05D3DD784F0135FB81353DA38C6D5C021CB926E844DFC49FC4
    Key-Arg   : None
    Start Time: 1481685096
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

除非您要继续下一个示例，否则请在运行此示例后通过删除 nginx 服务以及存储的秘钥和配置来清理。
$ docker service rm nginx $ docker secret rm site.crt site.key $ docker config rm site.conf

您现在已配置了一个 Nginx 服务，其配置与其镜像解耦。您可以使用完全相同的镜像运行多个站点，但配置不同，而无需构建自定义镜像。

示例：轮换配置

要轮换配置，您首先保存一个新配置，其名称与当前使用的配置不同。然后，重新部署服务，删除旧配置并在容器内相同的挂载点添加新配置。此示例在前一个示例的基础上，通过轮换 site.conf 配置文件。

在本地编辑 site.conf 文件。在 index 行添加 index.php，然后保存文件。

server {
    listen                443 ssl;
    server_name           localhost;
    ssl_certificate       /run/secrets/site.crt;
    ssl_certificate_key   /run/secrets/site.key;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm index.php;
    }
}

使用新的 site.conf 创建一个新的 Docker 配置，名为 site-v2.conf。
```
$ docker config create site-v2.conf site.conf
```

更新 nginx 服务以使用新配置而不是旧配置。

$ docker service update \
  --config-rm site.conf \
  --config-add source=site-v2.conf,target=/etc/nginx/conf.d/site.conf,mode=0440 \
  nginx

使用 docker service ps nginx 验证 nginx 服务是否已完全重新部署。完成后，您可以删除旧的 site.conf 配置。
$ docker config rm site.conf

要清理，您可以删除 nginx 服务以及秘密和配置。

$ docker service rm nginx

$ docker secret rm site.crt site.key

$ docker config rm site-v2.conf

您现在已更新 nginx 服务的配置，而无需重建其镜像。