Aplicațiile containerizate trebuie să fie configurabile fără a reconstrui imaginea — folosind variabile de mediu, fișiere de configurație și gestionare adecvată a secretelor. Gestionarea corectă a configurației și secretelor este importantă pentru securitate și pentru a rula aceeași imagine în mai multe medii.
docker run -e DATABASE_URL=postgres://... -e NODE_ENV=production myapp
docker run --env-file . myapp
# in docker-compose.yml
services:
app:
image: myapp
environment:
- DATABASE_URL=postgres://db:5432/app
env_file: .env
Urmând principiile twelve-factor, configurația provine din mediul (env vars) în timp de execuție — așa că ACEEAȘI imagine rulează în dev, staging și producție cu configurație diferită, fără a fi nevoie să se reconstruiască pe mediu.
⚠️ NEVER put secrets (passwords, API keys, tokens) in the Dockerfile or image layers:
→ image layers are inspectable → secrets can be EXTRACTED (even if "removed" later,
they remain in earlier layers)
→ anyone with the image gets the secrets
→ This is a serious, common security mistake.
✓ RUNTIME environment variables (better than image, but visible in inspect/env)
✓ DOCKER SECRETS (Swarm) / Kubernetes Secrets — mounted securely at runtime
✓ Secrets MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc. (fetch at runtime)
✓ BuildKit build secrets (--secret) — for build-time secrets without baking into layers
✓ Keep .env files OUT of version control (.gitignore) and out of the image (.dockerignore)
Gestionarea corectă a configurației și secretelor în Docker este importantă atât pentru securitate cât și pentru flexibilitate operațională, deci este o cunoaștere practică valoroasă.
Principiul configurației — furnizarea configurației prin variabile de mediu în timp de execuție în loc să o încarci în imagine (urmând principiile twelve-factor) — este important deoarece permite aceleiași imagini să ruleze în toate mediile (dev, staging, producție) cu configurație diferită, fără a se reconstrui pe mediu, ceea ce este fundamental pentru deployări reproducibile, portabile și o practică de containerizare esențială.
Mai critic, gestionarea secretelor este o problemă gravă de securitate: regula cheie — nu încorpora niciodată secretele (parole, chei API, token-uri) în imagini — este esențială deoarece straturile imaginii sunt inspectabile și secretele încorporate în ele pot fi extrase (și rămân în straturile anterioare chiar dacă sunt "șterse" mai târziu), deci oricine are imaginea obține secretele; aceasta este o greșeală comună și periculoasă care cauzează scurgeri reale de credențiale.
Înțelegerea gestionării corecte a secretelor — variabile de mediu în timp de execuție (mai bun, deși vizibil în inspect), mecanisme de secreturi dedicate (Docker/Kubernetes Secrets montate în siguranță, manageri de secreturi cum ar fi Vault sau AWS Secrets Manager preluate în timp de execuție, BuildKit build secrets pentru nevoi în timp de construire) și păstrarea fișierelor .env în afara controlului versiunilor și imaginilor — este necesară pentru a gestiona secretele în siguranță.
Deoarece rularea aceleiași imagini în mai multe medii (prin configurație bazată pe env) și protejarea secretelor (fără a le încorpora în imagini) sunt ambele importante pentru deployări containerizate sigure și flexibile, și deoarece nerespectarea gestionării secretelor este o defecțiune gravă și comună de securitate, înțelegerea gestionării configurației și secretelor în Docker — configurare bazată pe mediu și gestionare corectă a secretelor — este o cunoaștere valoroasă și practic importantă pentru a implementa containerele în siguranță și flexibil, cu aspectul secretelor fiind în special o cunoaștere critică de securitate care previne expunerea reală de credențiale.