← До списку лабораторних по Docker
Повний опис / сценарій лабораторної:
Мета: розібратися як контейнери можуть використовувати короткоживучі облікові дані бази замість статичних пар логін паролів. Крок 1. Ознайомитися з прикладом системи динамічних секретів. Пояснення: наприклад Vault або менеджер доступу cloud провайдера. Крок 2. Уявити що база видає тимчасовий логін пароль з обмеженим часом дії. Пояснення: ці дані передаються у контейнер на старті. Крок 3. Написати entrypoint скрипт який спочатку отримує такі креденшіали. Пояснення: скрипт може викликати api сховища секретів. Крок 4. Додати обробку помилки якщо секрет недоступний. Пояснення: застосунок має коректно завершитися а не зависати. Крок 5. Запустити контейнер у тестовому режимі з мок апі сховища. Пояснення: наприклад локальний http сервер який повертає фіктивні креденшіали. Крок 6. Перевірити що конфіг підключення до бази формується динамічно на основі відповіді. Крок 7. Змоделювати ситуацію коли секрет протермінувався. Пояснення: перевір як застосунок реагує на помилки підключення. Крок 8. Продумати механізм автоматичного оновлення креденшіалів без рестарту контейнера. Пояснення: можливо через окремий фоновий процес або sidecar. Крок 9. Задокументувати вимоги до інфраструктури для динамічних секретів. Пояснення: надійність, затримка, логування доступів. Крок 10. Міні звіт. Завдання: опиши у яких проєктах динамічні секрети дадуть найбільший виграш у безпеці.