Dockerランタイム

Docker実行時にKeeper Secrets Managerからシークレットを取得

機能

Dockerコンテナ実行時にKeeperボルトからシークレットを動的に取得

Keeperシークレットマネージャーの機能一覧については、概要をご参照ください。

前提条件

本ページでは、シークレットマネージャーとDockerランタイムとの連携について取り扱います。本連携を利用するには、以下が必要です。

Keeperシークレットマネージャーへのアクセス（クイックスタートガイドをご参照ください）
- Keeperのサブスクリプションでシークレットマネージャーアドオンが有効になっていること
- シークレットマネージャーポリシーが有効なロールに所属していること
シークレットが共有されているKeeper シークレットマネージャーアプリケーション
- アプリケーションの作成手順については、クイックスタートガイドをご参照ください
ワンタイムアクセストークン
Keeperシークレットマネージャー（KSM）CLIツール
- KSM CLIの設定手順については、こちらをご参照ください

概説

KeeperシークレットマネージャーはDockerランタイムと連携しており、コンテナ実行時にボルトからシークレットを動的に取得できます。

ksm コマンドでコンテナ起動時に環境変数を設定すれば、デプロイメントスクリプトへのハードコーディングを避けられます。以下に実装例を示します。

例: MySQLネットワークユーザーアカウントのプロビジョニング

公式のMySQL dockerを使用すると、ユーザーはMySQL rootパスワードを設定し、環境変数を使用してネットワークアクセス可能なユーザーを作成できます。MySQLインスタンスは、コンテナの実行時にプロビジョニングされます。

公式のMySQL Dockerfileは以下のとおりです。

FROM debian:buster-slim
	
...
... INSTALL MySQL 8.0 SERVER
...
	
ENTRYPOINT ["docker-entrypoint.sh"]

EXPOSE 3306 33060
CMD ["mysqld"]

標準実装では、ENTRYPOINTがコンテナのプロビジョニングを担当し、渡された環境変数を使ってMySQLを設定します。参照される環境変数は以下のとおりです。

MYSQL_ROOT_PASSWORD
MYSQL_USER
MYSQL_PASSWORD
MYSQL_DATABASE

以下の手順では、Keeperボルトに格納されたシークレットを使用してMySQLデータベースを初期化する方法を示します。

手順 1: シークレットを格納する2つのボルトレコードを作成

シークレットマネージャーアプリケーションが管理する2つのレコードをボルトに作成します。一方にはrootパスワード、もう一方には通常ユーザー、パスワード、データベース名を格納します。

ボルトのレコードに表示されるレコードUIDを必ずコピーしてください。手順3でボルトのシークレットを参照するときに使用します。

手順 2: デフォルトのMySQL DockerfileをベースにしたDockerfileを作成

KeeperシークレットマネージャーCLI（ksm）をインストールし、ksm exec でENTRYPOINTをラップするDockerfileを作成します。

以下のDockerfileでは、Keeper表記法を使用して4つの環境変数を置き換えています。また、シークレットが格納されているボルトを示すシークレットマネージャープロファイルも渡します。

FROM mysql:debian

ARG BUILD_KSM_INI_CONFIG
ARG BUILD_ROOT_UID
ARG BUILD_USER_UID

RUN apt-get update && \
  apt-get install -y python3 python3-pip python3-venv && \
  apt-get clean

# 干渉する可能性のあるシステムインストールモジュールは使用しない
ENV VIRTUAL_ENV /venv
RUN python3 -m pip install --upgrade pip && \
  	python3 -m venv $VIRTUAL_ENV
ENV PATH="$VIRTUAL_ENV/bin:$PATH"

# ディストリビューションに含まれるPythonが古すぎて、新しいモジュールのインストールに支障があるかもしれないため、pipをアップグレード
RUN pip3 install --upgrade pip

# KeeperシークレットマネージャーCLIをインストール
RUN pip3 install keeper-secrets-manager-cli

# 設定をインポートしてデコードし、ksmが検出可能な場所に保存
RUN ksm profile import $(printenv --null BUILD_KSM_INI_CONFIG)

ENV MYSQL_ROOT_PASSWORD keeper://${BUILD_ROOT_UID}/field/password
ENV MYSQL_USER          keeper://${BUILD_USER_UID}/field/login
ENV MYSQL_PASSWORD      keeper://${BUILD_USER_UID}/field/password
ENV MYSQL_DATABASE      keeper://${BUILD_USER_UID}/custom_field/database

ENTRYPOINT ["ksm", "exec", "--", "docker-entrypoint.sh"]

手順 3: dockerビルドを実行するシェルスクリプトを作成

docker buildを実行するには、以下のスクリプトでシークレットマネージャーのデバイス設定と、シークレットを含むボルトのrootユーザーのレコードUIDとネットワークユーザーのレコードUIDを渡します。

#!/bin/sh

export CF=$(ksm profile export)

docker build \
  --build-arg "BUILD_KSM_INI_CONFIG=${CF}" \
  --build-arg "BUILD_ROOT_UID=DvpMcO4xV5nZF6jqLGF1fQ" \
  --build-arg "BUILD_USER_UID=VNxZvvNAZ8j2mL4WIjEzjg" \
  -t mysql_custom \
  .

例: KSM CLI Dockerイメージの使用

KSM CLI Dockerには、GLIBC（ほとんどのLinuxディストリビューション）とMUSL（Alpine Linux）の両方のCLIバイナリへのボリュームマウントが含まれています。ボリュームは /cli です。このディレクトリは、docker-composeの volumes_from またはコマンドラインdockerの -v を使用して、別のコンテナにマウントできます。ksm の実行可能ファイルは、Linuxディストリビューションが使用しているCライブラリのバージョン別のディレクトリにあります。

/cli/glibc/ksm: Ubuntu、Debian、Fedora、CentOSなどの標準GLIBCディストリビューション
/cli/musl/ksm: Alpine Linux

たとえば、CLIバイナリにアクセスする方法を示す簡単なフレームワークを以下に示します。

---
version: "2"
services:
  init:
    image: keeper/keeper-secrets-manager-cli:latest
  main:
    image: ubuntu:latest
    volumes_from:
      - init:ro
    command: [ '/cli/glibc/ksm', 'exec', 'printenv', 'MY_LOGIN' ]
    environment:
      KSM_CONFIG: ewog ... M09IemdQMnc9Igp9
      MY_LOGIN: keeper://bf18xLR3aVut5eYy7oIZZZ/field/login
      LC_ALL: C.UTF-8
      LANG: C.UTF-8
    depends_on:
      init:
        condition: service_completed_successfully

init サービスはCLI dockerをロードします。コンテナが起動し、CLIのスプラッシュ画面が表示されてから終了します。コンテナが停止しても、/cli ボリュームには他のコンテナから引き続きアクセスできます。

main サービスは volumes_from を使用して、CLI dockerのボリュームをディレクトリ /cli にマウントします。command でオーバーライドして、KSM CLIのGLIBCバージョンを実行します。command はCLIの exec 機能を使用します。これにより、Keeper表記法を使用する環境変数がシークレット値に置き換えられます。CLIの exec コマンドは printenv を実行し、Keeper表記法に設定された環境変数MY_LOGINの値を、シークレットに置き換えて表示します。

$ example : docker-compose up
[+] Running 2/0
 ⠿ Container example-init-1  Created                                                                                                                      0.0s
 ⠿ Container example-main-1  Recreated                                                                                                                    0.1s
Attaching to example-init-1, example-main-1
example-init-1  |
example-init-1  | ██╗  ██╗███████╗███╗   ███╗     ██████╗██╗     ██╗
example-init-1  | ██║ ██╔╝██╔════╝████╗ ████║    ██╔════╝██║     ██║
example-init-1  | █████╔╝ ███████╗██╔████╔██║    ██║     ██║     ██║
example-init-1  | ██╔═██╗ ╚════██║██║╚██╔╝██║    ██║     ██║     ██║
example-init-1  | ██║  ██╗███████║██║ ╚═╝ ██║    ╚██████╗███████╗██║
example-init-1  | ╚═╝  ╚═╝╚══════╝╚═╝     ╚═╝     ╚═════╝╚══════╝╚═╝
example-init-1  |
example-init-1  | Current Version: 1.0.13
example-init-1  |
example-init-1  | Running in shell mode. Type 'quit' to exit.
example-init-1  |
example-init-1 exited with code 0
example-main-1  | john.smith@localhost
example-main-1 exited with code 0

例: KSM CLI Dockerと他のベンダーのDockerイメージの併用

上記の例と同様に、カスタムDockerイメージを作成せずに、KSM CLI dockerを使用して、別のベンダーのDockerイメージのエントリポイントとコマンドをオーバーライドできます。

この例では、最初の2つの例を組み合わせます。

この例では、Docker HubリポジトリからDockerイメージを取得し、DockerfileがGitHubに公開されていることを前提としています。

オペレーティングシステムのディストリビューション

最初の手順は、ベンダーのDockerイメージがどのオペレーティングシステムのディストリビューションに基づいて作成されているかを判定することです。通常はタグ名で判定できます。たとえば、イメージタグ名に「alpine」が含まれている場合は、Alpine Linuxであることがわかります。

イメージタグ名にディストリビューションが示されていない場合は、そのイメージのDocker Hubウェブページで、「サポートされているタグ（Supported tags）」セクションのタグ名をクリックします。すると、Dockerfileの内容が表示されます。FROMステートメントは、ベンダーがイメージ作成のベースにしたディストリビューションを示します。FROMステートメントで判明しない場合は、継承したFROMイメージのDockerfileをご確認ください。

MySQL 8.0.31は、タグ名にオペレーティングシステムのディストリビューションを示しません。MySQL Docker Hubページでは、8.0.31タグがGitHubリポジトリにリンクしています。このDockerfileから、ディストリビューションがOracle Linuxであることがわかります。

ディストリビューションをチェックする目的は、どのバージョンのlibcライブラリが使用されているかを確認することです。ほとんどのディストリビューションはGLIBCを使用していますが、一部（主にAlpine Linux）はMUSLを使用しています。これは、KSM CLI Dockerイメージから正しいバイナリを選択するために必要です。間違ったバイナリを選択すると、exec /cli/musl/ksm: no such file or directoryまたはexec /cli/glibc/ksm: no such file or directoryのようなエラーが表示されます。この例では、Oracle LinuxはGLIBCディストリビューションです。

エントリーポイントとコマンド

続いて、ベンダーのDockerイメージのENTRYPOINTとCMDを特定します。Dockerfileには、ENTRYPOINTとCMDの両方、またはいずれか一方が記載されます。

このMySQL Dockerfileでは、ENTRYPOINTは ["docker-entrypoint.sh"] で、CMDは ["mysqld"] です。つまり、ENTRYPOINTはCMDの先頭に追加されるため、コンテナ起動時に docker-entrypoint.sh mysqld が実行されます。

`docker-compose.yml`

docker-composeでは2つのサービスを使います。

initサービスは keeper/keeper-secrets-manager-cli Dockerイメージのボリュームを読み込みます。このイメージは起動して終了しますが、終了後もボリュームには引き続きアクセスできます。

mainサービスはinitサービスの後に実行されます。docker-composeの depends_on ディレクティブで制御します。このサービスには、KSM CLI exec コマンドで置き換えられる表記法を使用した環境変数と、KSM CLIに必要なBase64でエンコードされた設定が含まれます。MySQL Dockerイメージのデータベースプロビジョニングで使用するMYSQL_環境変数もここで設定します。

また、mainサービスは volumes_from を使用してinitサービスからボリュームをマウントします。KSM CLI Dockerイメージには、ボリュームをエクスポートしてmainサービスコンテナにマウントする場所が定義されています。バイナリは /cli（libcバージョンと ksm バイナリ名が続く）にマウントされます。

version: '3.0'
services:
  init:
    image: keeper/keeper-secrets-manager-cli:latest
  main:
    image: mysql:8.0
    environment:
      KSM_CONFIG: "ewog .... RQ3pQMnc9Igp9"
      MYSQL_USER: "keeper://KOJLz4Wzbqfi9xUO-VMViA/field/login"
      MYSQL_PASSWORD: "keeper://KOJLz4Wzbqfi9xUO-VMViA/field/password"
      MYSQL_ROOT_PASSWORD: "keeper://KOJLz4Wzbqfi9xUO-VMViA/custom_field/Root Password"
      MYSQL_DATABASE: "keeper://KOJLz4Wzbqfi9xUO-VMViA/custom_field/Database"
    depends_on:
      init:
        condition: service_completed_successfully
    entrypoint: ["/cli/glibc/ksm", "exec", "docker-entrypoint.sh"]
    command: ["mysqld"]
    ports:
      - "3306:3306"
    volumes_from:
      - init:ro

MySQLイメージはOracleディストリビューション（GLIBCディストリビューション）を使用するため、mainサービスは /cli/glibc/ksm バイナリを使用します。

mainサービスは、MySQLイメージのENTRYPOINTとCMDをオーバーライドします。entrypointとcommandを使用して実行します。エントリポイントは、KSM CLIの exec コマンドで元のENTRYPOINT docker-entrypoint.sh を実行します。commandは同じですが、docker-compose.yml で設定する必要があります。設定しないと、サービスは終了します。

使用しているDockerイメージによっては、ENTRYPOINTとCMDのいずれか一方、またはその両方のオーバーライドが必要になる場合があります。

結果

サービス起動時、initサービスが最初に実行され、コード0で正常終了します。その後mainサービスが起動し、KSM CLIの exec コマンドを実行してから docker-entrypoint.sh mysqld が実行されます。この時点で環境変数はシークレットに置き換えられ、MySQLがプロビジョニングされ、mysqld が稼働しています。

$ my_mysql : docker-compose up
[+] Running 3/3
 ⠿ Network my_mysql_default   Created                                                                                                          0.0s
 ⠿ Container my_mysql-init-1  Created                                                                                                          0.1s
 ⠿ Container my_mysql-main-1  Created                                                                                                          0.0s
Attaching to my_mysql-init-1, my_mysql-main-1
my_mysql-init-1  |
my_mysql-init-1  | ██╗  ██╗███████╗███╗   ███╗     ██████╗██╗     ██╗
my_mysql-init-1  | ██║ ██╔╝██╔════╝████╗ ████║    ██╔════╝██║     ██║
my_mysql-init-1  | █████╔╝ ███████╗██╔████╔██║    ██║     ██║     ██║
my_mysql-init-1  | ██╔═██╗ ╚════██║██║╚██╔╝██║    ██║     ██║     ██║
my_mysql-init-1  | ██║  ██╗███████║██║ ╚═╝ ██║    ╚██████╗███████╗██║
my_mysql-init-1  | ╚═╝  ╚═╝╚══════╝╚═╝     ╚═╝     ╚═════╝╚══════╝╚═╝
my_mysql-init-1  |
my_mysql-init-1  | Current Version: 1.0.14
my_mysql-init-1  |
my_mysql-init-1  | Running in shell mode. Type 'quit' to exit.
my_mysql-init-1  |
my_mysql-init-1 exited with code 0
my_mysql-main-1  | 2022-10-31 21:35:26+00:00 [Note] [Entrypoint]: Entrypoint script for MySQL Server 8.0.31-1.el8 started.
my_mysql-main-1  | 2022-10-31 21:35:26+00:00 [Note] [Entrypoint]: Switching to dedicated user 'mysql'
my_mysql-main-1  | 2022-10-31 21:35:26+00:00 [Note] [Entrypoint]: Entrypoint script for MySQL Server 8.0.31-1.el8 started.
my_mysql-main-1  | 2022-10-31 21:35:26+00:00 [Note] [Entrypoint]: Initializing database files
my_mysql-main-1  | 2022-10-31T21:35:26.830527Z 0 [Warning] [MY-011068] [Server] The syntax '--skip-host-cache' is deprecated and will be removed in a future release. Please use SET GLOBAL host_cache_size=0 instead.
my_mysql-main-1  | 2022-10-31T21:35:26.830594Z 0 [System] [MY-013169] [Server] /usr/sbin/mysqld (mysqld 8.0.31) initializing of server in progress as process 83
...
my_mysql-main-1  | 2022-10-31T21:35:35.611063Z 0 [System] [MY-010931] [Server] /usr/sbin/mysqld: ready for connections. Version: '8.0.31'  socket: '/var/run/mysqld/mysqld.sock'  port: 3306  MySQL Community Server - GPL.
my_mysql-main-1  | 2022-10-31T21:35:35.611015Z 0 [System] [MY-011323] [Server] X Plugin ready for connections. Bind-address: '::' port: 33060, socket: /var/run/mysqld/mysqlx.sock

Dockerランタイムの例に貢献

良い例がございましたら、Slackでご連絡いただくか、sm@keepersecurity.com までメールでお送りください。

前へDockerイメージ次へDocker Writerイメージ

最終更新 12 日前