Wie bekomme ich ein Geheimnis aus der Vault-HTTP-API von HashiCorp in einen Andock-Container?

Question

Der Versuch, ein Geheimnis aus HashiCorps Vault in eine Umgebungsvariable innerhalb einer Dockerdatei mit Hilfe der HTTP-API zu bekommen. Brauchen Sie das Geheimnis, um eine Datei von einem privaten Git-Repository herunterladen.

Dockerfile relevanter Teil

FROM debian:jessie 

ENV REPOSITORY_LOCAL_IP 192.168.1.x 
ENV REPOSITORY_PORT 20080 
ENV REPOSITORY_USER root 

ENV PRIVATE_TOKEN "$(curl -s -H "X-Vault-Token: xxx" -X GET http://192.168.1.x:8200/v1/secret/private-token | jq -r '.data.value')" 

RUN apt install curl jq -y && \ 
    wget http://"$REPOSITORY_LOCAL_IP":"$REPOSITORY_PORT"/"$REPOSITORY_USER"/repository/blob/master/files/file.conf?private_token="$PRIVATE_TOKEN" 

docker-compose.yml relevanter Teil

version: '2' 
services: 
    hhvm_dev: 
    build: 
     dockerfile: image.df 
     context: ./images/. 
    user: user 
    restart: always 
    stdin_open: true 
    tty: true 
    working_dir: /etc/image 
    ports: 
     - "80" 

Laufen mit docker-compose build kehrt die folgende Ausgabe:

converted 'http://192.168.1.x:20080/root/repository/blob/master/files/file.conf?private_token=$(curl -s -H X-Vault-Token: xxx-token-xxx -X GET http://192.168.1.x:8200/v1/secret/private-token | jq -r '.data.value')' (ANSI_X3.4-1968) -> 'http://192.168.1.x:20080/root/repository/blob/master/files/file.conf?private_token=$(curl -s -H X-Vault-Token: xxx-token-xxx -X GET http://192.168.1.x:8200/v1/secret/private-token | jq -r '.data.value')' (UTF-8) 
--2016-11-02 12:07:41-- http://192.168.1.x:20080/root/repository/blob/master/files/file.conf?private_token=$(curl%20-s%20-H%20X-Vault-Token:%xxx-token-xxx%20-X%20GET%20http://192.168.1.x:8200/v1/secret/private-token%20%7C%20jq%20-r%20'.data.value') 
Connecting to 192.168.1.x:20080... connected. 
HTTP request sent, awaiting response... 302 Found 
Location: http://192.168.1.x:20080/users/sign_in [following] 
converted 'http://192.168.1.x:20080/users/sign_in' (ANSI_X3.4-1968) -> 'http://192.168.1.x:20080/users/sign_in' (UTF-8) 
--2016-11-02 12:07:41-- http://192.168.1.x:20080/users/sign_in 
Reusing existing connection to 192.168.1.x:20080. 
HTTP request sent, awaiting response... 200 OK 
Length: unspecified [text/html] 
Saving to: '/scripts/file.sh' 

    0K ........            6.17M=0.001s 

2016-11-02 12:07:42 (6.17 MB/s) - '/scripts/file.sh' saved [8270] 

Es ist wie die PRIVATE_TOKEN sieht haupt nicht festgelegt wird der angegebene Standort Es lädt nur die Login-Seite aus dem privaten Repository.

Answer 1

Docker interpretiert das "ENV" nicht mit einer Shell, es setzt nur die Literal-Zeichenfolge mit etwas Parsing für alle Docker-Argumente, die Sie enthalten haben. Im RUN-Befehl wird die Umgebungsvariable auf die Zeichenfolge erweitert, aber nicht ein zweites Mal ausgewertet, um den darin enthaltenen Befehl auszuführen. Setzen Sie Ihre curl für die PRIVATE_TOKEN in Ihrem RUN-Befehl, so etwas wie dieser ungetestete Code:

RUN export PRIVATE_TOKEN=$(curl -s -H "X-Vault-Token: xxx" -X GET http://192.168.1.x:8200/v1/secret/private-token | jq -r '.data.value') \ 
&& apt install curl jq -y \ 
&& wget http://"$REPOSITORY_LOCAL_IP":"$REPOSITORY_PORT"/"$REPOSITORY_USER"/repository/blob/master/files/file.conf?private_token="$PRIVATE_TOKEN" 

Beachten Sie, dass mit diesem Entwurf, der PRIVATE_TOKEN nur in Ihrem einem RUN-Befehl geben wird, so dass Sie nicht in der Lage sein werden, wieder zu verwenden es später.