在docker容器中分享敏感信息的方法

摘自《Docker开发指南》9.7节"分享秘密信息"

直接将敏感信息保存到镜像中

这是最简单的方法，但这意味着任何能够获取镜像的人都能看到敏感信息，而且它还无法被删除，一直都会存在于上层镜像中。

另一种变体是将敏感信息加密后保存到镜像中，但你要注意将解密密钥传到使用者手中时不要被人攻击。

这是 “十二要素应用宣言” 推荐的方法，使用起来也很简单，只需要把敏感信息作为参数传递给docker run即可

docker run -d -e API_TOKEN=xxxxxxxxxxxx image

但这种方法还有一些缺陷：

docker run -d -v /secret-file:/secret-file:ro image

这种方法的优势在于敏感信息不会暴露给docker inspect和连接容器。但由于敏感信息以文件形式保存，因此要注意不要不小心被提交到版本控制系统中。

第三方键值存储容器可以对容器进行身份验证，还可以实现灵活管理敏感信息，是目前来说最好的解决方案.

但缺点是太过复杂。