Q&A
###経緯
DockerとCoreOSを使ってローカルマシン上でWebアプリケーションを構築中の者です。
現在以下3種類のコンテナを利用しています。
- PHPコンテナ
- Nginxコンテナ
- MySQLコンテナ
問題
このうちPHPコンテナではdocker run時に独自のシェルスクリプトを走らせ、gitリポジトリからソースをcloneして開発しています。
ここで毎回リポジトリとのSSH認証が必要になるのですが、コンテナ起動の度に公開鍵を作成してリポジトリ側へ登録して、、、といったことが難しかったため、ホストマシンの認証情報をマウントして利用しています。具体的には以下のような感じで。
Docker
1docker run -v /root/.ssh:/root/.ssh:ro myphp:latest /root/start.sh
今はローカルだからよいのですが、これがサービス環境へ移行していくときに、SSH認証系の情報をどのように共有すべきか、いい方法がありましたらご教授頂きたいです。
回答1件
0
ベストアンサー
サービス環境とは、実際にサービスを運用するいわゆる本番系のことでしょうか?
サービス環境としてDockerのホスティングサービスを採用する場合は話が違ってきますが、仮にEC2などroot権限が握れる仮想マシンサービスを利用する場合は、ローカル環境と同等の環境を構築できるのではないでしょうか?
仮にdockerを使わなかったとしましょう。そのホストからgithubにアクセスするために、ホストでキー作成し、githubに登録するはずです。今回の場合は、そのホスト上のコンテナからもキーを参照できるようにしている、という話です。どちらにしろサービスが動く環境からgithubにアクセスできるキーが必要なので、ローカル環境同様の設定で十分ではないでしょうか?
ただ、気をつけてほしい事があります。サービス運用時にやってはならない事の1つは、開発時に使っている秘密鍵を運用環境にコピーしてしまうことでしょう。仮にその運用環境が乗っ取られた場合、開発時に使っている秘密鍵でアクセス可能なサイト全てに何らかの操作が行えてしまうのが問題です。
逆にDockerfileでキー作成と公開鍵の登録も含めてしまう考えもあるかもしれません。しかし、そうすると今度はGitHubなどのサービスを利用できるキーが増えてしまうので、それはそれでアカウントを乗っ取る口を増やしてしまうことになります。
サービス運用開始時に気をつけることの1つに最低限のものを利用可能にする、という考えがありますが、ここで述べたのはそういうことです。期待されていた回答と違っていたらごめんなさい。
投稿2015/09/03 03:26
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/09/03 03:46