Las aplicaciones containerizadas deben ser configurables sin reconstruir la imagen — usando variables de entorno, archivos de configuración y gestión adecuada de secretos. El manejo correcto de configuración y secretos es importante para la seguridad y para ejecutar la misma imagen en diferentes entornos.
docker run -e DATABASE_URL=postgres://... -e NODE_ENV=production myapp
docker run --env-file . myapp
# in docker-compose.yml
services:
app:
image: myapp
environment:
- DATABASE_URL=postgres://db:5432/app
env_file: .env
Siguiendo los principios twelve-factor, la configuración proviene del entorno (variables de entorno) en tiempo de ejecución — así la MISMA imagen se ejecuta en desarrollo, staging y producción con diferente configuración, nunca reconstruyendo por entorno.
⚠️ NEVER put secrets (passwords, API keys, tokens) in the Dockerfile or image layers:
→ image layers are inspectable → secrets can be EXTRACTED (even if "removed" later,
they remain in earlier layers)
→ anyone with the image gets the secrets
→ This is a serious, common security mistake.
✓ RUNTIME environment variables (better than image, but visible in inspect/env)
✓ DOCKER SECRETS (Swarm) / Kubernetes Secrets — mounted securely at runtime
✓ Secrets MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc. (fetch at runtime)
✓ BuildKit build secrets (--secret) — for build-time secrets without baking into layers
✓ Keep .env files OUT of version control (.gitignore) and out of the image (.dockerignore)
El manejo correcto de configuración y secretos en Docker es importante tanto para la seguridad como para la flexibilidad operacional, por lo que es un conocimiento práctico valioso.
El principio de configuración — proporcionar configuración mediante variables de entorno en tiempo de ejecución en lugar de incrustarla en la imagen (siguiendo principios twelve-factor) — es importante porque permite que la misma imagen se ejecute en todos los entornos (desarrollo, staging, producción) con diferente configuración, nunca reconstruyendo por entorno, lo cual es fundamental para deployments reproducibles y portátiles y una práctica fundamental de containerización. ",
Más críticamente, el manejo de secretos es una preocupación seria de seguridad: la regla clave — nunca incrustes secretos (contraseñas, claves API, tokens) en imágenes — es esencial porque las capas de imagen son inspeccionables y los secretos incrustados en ellas pueden ser extraídos (y permanecen en capas anteriores incluso si se "eliminan" después), así que cualquiera que tenga la imagen obtiene los secretos; este es un error común y peligroso que causa fugas reales de credenciales.
Comprender el manejo adecuado de secretos — variables de entorno en tiempo de ejecución (mejor, aunque visibles en inspect), mecanismos dedicados de secretos (Docker/Kubernetes Secrets montados de forma segura, gestores de secretos como Vault o AWS Secrets Manager obtenidos en tiempo de ejecución, secretos de compilación de BuildKit para necesidades en tiempo de compilación), y mantener archivos .env fuera del control de versiones e imágenes — es necesario para gestionar secretos de forma segura.
Ya que ejecutar la misma imagen en diferentes entornos (mediante configuración basada en env) y proteger secretos (nunca incrustarlos en imágenes) son ambos importantes para deployments containerizados seguros y flexibles, y ya que la mala gestión de secretos es una falla de seguridad seria y común, el entendimiento de configuración y manejo de secretos en Docker — configuración basada en entorno y gestión adecuada de secretos — es conocimiento valioso y prácticamente importante para desplegar contenedores de forma segura y flexible, siendo el aspecto de secretos en particular un conocimiento de seguridad crítico que previene exposición real de credenciales.