ਤੁਸੀਂ Docker ਵਿੱਚ ਕਨਫ਼ਿਗਰੇਸ਼ਨ ਅਤੇ secrets ਨੂੰ ਕਿਵੇਂ ਸਭਾਲਦੇ ਹੋ?

Question

Accepted Answer

Containerized ਐਪਲੀਕੇਸ਼ਨ **ਲਚਕਦਾਰ** ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ ਬਿਨਾ image ਦੁਬਾਰਾ ਬਣਾਏ — **environment variables**, config ਫਾਈਲਾਂ, ਅਤੇ ਸਹੀ **secrets management** ਵਰਤ ਕੇ। Configuration ਅਤੇ secrets ਨੂੰ ਸਹੀ ਤਰੀਕੇ ਨਾਲ ਸੰਭਾਲਣਾ ਸੁਰੱਖਿਆ ਅਤੇ ਵੱਖ-ਵੱਖ environments ਵਿੱਚ ਉਹੀ image ਚਲਾਉਣ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ।

## Environment variables ਰਾਹੀਂ Configuration (12-factor)

```bash
# pass config at RUNTIME via environment variables (not baked into the image)
docker run -e DATABASE_URL=postgres://... -e NODE_ENV=production myapp
docker run --env-file .env myapp        # load many from a file
```

```yaml
# in docker-compose.yml
services:
  app:
    image: myapp
    environment:
      - DATABASE_URL=postgres://db:5432/app
    env_file: .env
```

**twelve-factor** ਸਿਧਾਂਤਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦੇ ਹੋਏ, configuration **environment** (env vars) ਤੋਂ runtime ਉੱਤੇ ਆਉਂਦੀ ਹੈ — ਤਾਂਜੋ ਉਹੀ image dev, staging, ਅਤੇ production ਵਿੱਚ ਵੱਖਰੀ configuration ਨਾਲ ਚਲੇ, ਹਰ environment ਲਈ ਦੁਬਾਰਾ ਬਣਾਏ ਬਿਨਾ।

## Secrets: ਇਨ੍ਹਾਂ ਨੂੰ images ਵਿੱਚ ਬੇਕ ਨਾ ਕਰੋ

```text
⚠️ NEVER put secrets (passwords, API keys, tokens) in the Dockerfile or image layers:
  → image layers are inspectable → secrets can be EXTRACTED (even if "removed" later,
    they remain in earlier layers)
  → anyone with the image gets the secrets
→ This is a serious, common security mistake.
```

## Secrets ਨੂੰ ਸਹੀ ਤਰੀਕੇ ਨਾਲ ਸੰਭਾਲਣਾ

```text
✓ RUNTIME environment variables (better than image, but visible in inspect/env)
✓ DOCKER SECRETS (Swarm) / Kubernetes Secrets — mounted securely at runtime
✓ Secrets MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc. (fetch at runtime)
✓ BuildKit build secrets (--secret) — for build-time secrets without baking into layers
✓ Keep .env files OUT of version control (.gitignore) and out of the image (.dockerignore)
```

## ਇਹ ਕਿਉਂ ਮਾਏਨੇ ਰੱਖਦਾ ਹੈ

Configuration ਅਤੇ secrets ਨੂੰ Docker ਵਿੱਚ ਸਹੀ ਤਰੀਕੇ ਨਾਲ ਸੰਭਾਲਣਾ **ਸੁਰੱਖਿਆ** ਅਤੇ **operational ਲਚਕਤਾ** ਦੋਵਾਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਇਸ ਲਈ ਇਹ ਅਮਲੀ ਗਿਆਨ ਕਿਮਤੀ ਹੈ।

Configuration ਸਿਧਾਂਤ — configuration ਨੂੰ **environment variables ਵਿਆਉੱਤੇ** ਫਰਾਹਮ ਕਰਨਾ ਬਜਾਏ image ਵਿੱਚ ਬੇਕ ਕਰਨ ਦੇ (twelve-factor ਸਿਧਾਂਤਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦੇ ਹੋਏ) — ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿਉਂਕਿ ਇਹ **ਉਹੀ image ਸਾਰੇ environments** (dev, staging, production) ਵਿੱਚ ਚਲਾਉਣ ਦਿੰਦਾ ਹੈ ਵੱਖਰੀ configuration ਦੇ ਨਾਲ, ਹਰ environment ਲਈ ਦੁਬਾਰਾ ਬਣਾਏ ਬਿਨਾ, ਜਿਹੜਾ reproducible, portable deployments ਅਤੇ containerization ਦੇ ਮੂਲ ਅਮਲ ਲਈ ਬੁਨਿਆਦੀ ਹੈ।

ਹੋਰ ਜ਼ਰੂਰੀ ਤੌਰ ਉੱਤੇ, **secrets handling** ਇੱਕ ਗੰਭੀਰ ਸੁਰੱਖਿਆ ਚਿੰਤਾ ਹੈ: ਮੁੱਖ ਨਿਯਮ — **ਕਦੀ secrets (passwords, API keys, tokens) ਨੂੰ images ਵਿੱਚ ਬੇਕ ਨਾ ਕਰੋ** — ਜ਼ਰੂਰੀ ਹੈ ਕਿਉਂਕਿ image layers inspectable ਹਨ ਅਤੇ ਇਨ੍ਹਾਂ ਵਿੱਚ ਬੇਕ ਕੀਤੇ secrets **ਕੱਢੇ ਜਾ ਸਕਦੇ ਹਨ** (ਅਤੇ ਬਾਅਦ ਵਾਲੀਆਂ layers ਵਿੱਚ ਭੀ ਰਹਿ ਜਾਂਦੇ ਹਨ ਜਦੋਂ