Comment gérer la configuration et les secrets dans Docker ?

Question

Accepted Answer

Les applications conteneurisées doivent être **configurables** sans avoir à reconstruire l'image — en utilisant des **variables d'environnement**, des fichiers de configuration et une **gestion appropriée des secrets**. Gérer correctement la configuration et les secrets est important pour la sécurité et pour exécuter la même image dans différents environnements.

## Configuration via variables d'environnement (12-factor)

```bash
# pass config at RUNTIME via environment variables (not baked into the image)
docker run -e DATABASE_URL=postgres://... -e NODE_ENV=production myapp
docker run --env-file .env myapp        # load many from a file
```

```yaml
# in docker-compose.yml
services:
  app:
    image: myapp
    environment:
      - DATABASE_URL=postgres://db:5432/app
    env_file: .env
```

En suivant les principes de la **twelve-factor app**, la configuration provient de l'**environnement** (variables d'env) au moment de l'exécution — de sorte que la MÊME image s'exécute en développement, staging et production avec des configurations différentes, sans jamais reconstruire par environnement.

## Secrets : NE les intégrez PAS dans les images

```text
⚠️ NEVER put secrets (passwords, API keys, tokens) in the Dockerfile or image layers:
  → image layers are inspectable → secrets can be EXTRACTED (even if "removed" later,
    they remain in earlier layers)
  → anyone with the image gets the secrets
→ This is a serious, common security mistake.
```

## Gestion appropriée des secrets

```text
✓ RUNTIME environment variables (better than image, but visible in inspect/env)
✓ DOCKER SECRETS (Swarm) / Kubernetes Secrets — mounted securely at runtime
✓ Secrets MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc. (fetch at runtime)
✓ BuildKit build secrets (--secret) — for build-time secrets without baking into layers
✓ Keep .env files OUT of version control (.gitignore) and out of the image (.dockerignore)
```

## Pourquoi c'est important

Gérer correctement la configuration et les secrets dans Docker est important pour la **sécurité** et la **flexibilité opérationnelle**, ce qui en fait une connaissance pratique précieuse.

Le principe de configuration — fournir la configuration via des **variables d'environnement au moment de l'exécution** plutôt que de l'intégrer dans l'image (en suivant les principes twelve-factor) — est important car il permet à la **même image de s'exécuter dans tous les environnements** (développement, staging, production) avec une configuration différente, sans jamais reconstruire par environnement, ce qui est fondamental pour des déploiements reproductibles et portables et une pratique essentielle de la conteneurisation.

Plus critiquement, la **gestion des secrets** est une préoccupation de sécurité sérieuse : la règle clé — **ne jamais intégrer les secrets (mots de passe, clés API, tokens) dans les images** — est essentielle car les couches d'image sont inspectables et les secrets intégrés peuvent être **extraits** (et restent dans les couches antérieures même s'ils sont "supprimés" plus tard), donc quiconque ayant accès à l'image obtient les secrets ; c'est une erreur courante et dangereuse qui provoque des fuites de credentials réelles.

Comprendre une **gestion appropriée des secrets** — variables d'environnement au moment de l'exécution (mieux, bien que visibles lors d'inspections), mécanismes de secrets dédiés (Docker/Kubernetes Secrets montés de façon sécurisée, gestionnaires de secrets comme Vault ou AWS Secrets Manager récupérés au moment de l'exécution, secrets de build BuildKit pour les besoins au moment de la construction) et maintenir les fichiers `.env` hors du contrôle de version et des images — est nécessaire pour gérer les secrets de façon sécurisée.

Com exécuter la même image dans différents environnements (via une configuration basée sur les env) et protéger les secrets (ne jamais les intégrer dans les images) sont tous deux importants pour des déploiements conteneurisés sécurisés et flexibles, et comme une mauvaise gestion des secrets est un échec de sécurité sérieux et courant, comprendre la gestion de la configuration et des secrets dans Docker — configuration basée sur l'environnement et gestion appropriée des secrets — est une connaissance précieuse et pratiquement importante pour déployer les conteneurs de façon sécurisée et flexible, l'aspect des secrets en particulier étant une connaissance de sécurité critique qui prévient les expositions réelles de credentials.