容器化应用应该可配置——无需重建镜像——使用环境变量、配置文件和适当的密钥管理。在 Docker 中正确处理配置和密钥对于安全性和跨环境运行相同镜像都很重要。
# pass config at RUNTIME via environment variables (not baked into the image)
docker run -e DATABASE_URL=postgres://... -e NODE_ENV=production myapp
docker run --env-file .env myapp # load many from a file
遵循十二因素原则,配置在运行时来自环境(环境变量)——所以相同的镜像在 dev、staging 和 production 中以不同的配置运行,永远不需要按环境重建。
⚠️ NEVER put secrets (passwords, API keys, tokens) in the Dockerfile or image layers:
→ image layers are inspectable → secrets can be EXTRACTED (even if "removed" later,
they remain in earlier layers)
→ anyone with the image gets the secrets
→ This is a serious, common security mistake.
✓ RUNTIME environment variables (better than image, but visible in inspect/env)
✓ DOCKER SECRETS (Swarm) / Kubernetes Secrets — mounted securely at runtime
✓ Secrets MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc. (fetch at runtime)
✓ BuildKit build secrets (--secret) — for build-time secrets without baking into layers
✓ Keep .env files OUT of version control (.gitignore) and out of the image (.dockerignore)
在 Docker 中正确处理配置和密钥对于安全性和运维灵活性都很重要,因此这是有价值的实践知识。
配置原则——在运行时通过环境变量提供配置,而不是将其烘焙到镜像中(遵循十二因素原则)——之所以重要,是因为它允许相同的镜像在所有环境中运行(dev、staging、production),具有不同的配置,永远无需按环境重建,这是可重现、可移植部署的基础,也是容器化的核心实践。
更关键的是,密钥处理是一个严重的安全问题:关键规则——永远不要将密钥(密码、API 密钥、令牌)烘焙到镜像中——是必要的,因为镜像层是可检查的,嵌入其中的密钥可以被提取(即使在之后