Kontaineroidut sovellukset pitäisi olla konfiguroitavissa ilman kuvan uudelleenrakentamista — käyttämällä ympäristömuuttujia, konfiguraatiotiedostoja ja asianmukaista salaisuuksien hallintaa. Konfiguraation ja salaisuuksien oikea käsittely on tärkeää turvallisuuden kannalta ja samalla kuvalla eri ympäristöissä toimimisen kannalta.
docker run -e DATABASE_URL=postgres://... -e NODE_ENV=production myapp
docker run --env-file . myapp
# in docker-compose.yml
services:
app:
image: myapp
environment:
- DATABASE_URL=postgres://db:5432/app
env_file: .env
Kahdentoista tekijän periaatteiden mukaisesti konfiguraatio tulee ympäristöstä (env-muuttujat) ajon aikana — joten SAMA kuva toimii dev-, staging- ja tuotantoympäristöissä eri konfiguraatiolla, eikä sitä koskaan tarvitse rakentaa uudelleen ympäristöä kohti.
⚠️ NEVER put secrets (passwords, API keys, tokens) in the Dockerfile or image layers:
→ image layers are inspectable → secrets can be EXTRACTED (even if "removed" later,
they remain in earlier layers)
→ anyone with the image gets the secrets
→ This is a serious, common security mistake.
✓ RUNTIME environment variables (better than image, but visible in inspect/env)
✓ DOCKER SECRETS (Swarm) / Kubernetes Secrets — mounted securely at runtime
✓ Secrets MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc. (fetch at runtime)
✓ BuildKit build secrets (--secret) — for build-time secrets without baking into layers
✓ Keep .env files OUT of version control (.gitignore) and out of the image (.dockerignore)
Konfiguraation ja salaisuuksien oikea käsittely Dockerissa on tärkeää sekä turvallisuuden että operatiivisen joustavuuden kannalta, joten se on arvokasta käytännön osaamista.
Konfiguraation periaate — konfiguraation toimittaminen ympäristömuuttujien kautta ajon aikana sen sijaan, että sitä voitaisiin rakentaa kuvaan (noudattaen kahdentoista tekijän periaatteita) — on tärkeää, koska se mahdollistaa saman kuvan toiminnan kaikissa ympäristöissä (dev, staging, tuotanto) eri konfiguraatiolla, ilman uudelleenrakentamista ympäristöä kohti, mikä on pohjimmiltaan tärkeitä toistettaville, siirrettäville käyttöönotoille ja ydinosaamista kontainerisaatiolle.
Vieläkin kriittisemmin, salaisuuksien käsittely on vakava turvallisuuskysymys: keskeinen sääntö — älä koskaan uudelleenrakenna salaisuuksia (salasanat, API-avaimet, tokenit) kuviin — on olennainen, koska kuvien kerrokset ovat tarkastettavissa ja niihin upotetut salaisuudet voidaan poimia (ja ne jäävät aikaisempiin kerroksiin vaikka ne myöhemmin "poistetaan"), joten jokainen, jolla on kuva, saa salaisuudet; tämä on yleinen, vaarallinen virhe, joka aiheuttaa oikeita valtuustodistusten vuotoja.
Ymmärtäminen asianmukaisesta salaisuuksien käsittelystä — ajon aikaiset ympäristömuuttujat (parempi, vaikka näkyvät inspektissa), omistautuneet salaisuusmekanismit (Docker/Kubernetes Secrets turvallisesti liitettyinä, salaisuuksien hallintajärjestelmät kuten Vault tai AWS Secrets Manager noudettu ajon aikana, BuildKit-rakennussalaisuudet rakennusajan tarpeisiin), ja .env-tiedostojen pitäminen pois versionhallinnasta ja kuvista — on välttämätöntä salaisuuksien turvalliseen hallintaan.
Koska saman kuvan käyttäminen kaikissa ympäristöissä (ympäristöpohjaisen konfiguraation kautta) ja salaisuuksien suojaus (älä koskaan uudelleenrakenna niitä kuviin) ovat molemmat tärkeitä turvallisille, joustaville kontaineroiduille käyttöönotoille, ja koska salaisuuksien väärinkäsittely on vakava, yleinen turvallisuusvirhe, ymmärtäminen konfiguraation ja salaisuuksien käsittelystä Dockerissa — ympäristöpohjainen konfiguraatio ja asianmukainen salaisuuksien hallinta — on arvokasta, käytännössä tärkeää osaamista kontainereiden turvalliselle ja joustavalle käyttöönotolle, ja erityisesti salaisuuksien näkökulma on kriittistä turvallisuusosaamista, joka estää oikeita valtuustodistusten altistumisen.