doitintl/secrets-init Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

容器极简初始化系统镜像

镜像概述

本镜像提供一个专为容器环境设计的极简初始化系统，核心功能是实现轻量级容器初始化管理，并原生支持AWS和Google Cloud的密钥服务集成。该系统体积小巧、资源占用低，能够安全地从云服务商密钥管理服务中获取敏感信息，适用于需要在容器中安全处理密钥的场景。

核心功能与特性

• 极简设计：采用轻量级架构，镜像体积小，启动速度快，资源占用低
• 云密钥集成：原生支持AWS Secrets Manager和Google Cloud Secret Manager，可直接从云服务获取密钥
• 容器初始化：提供基础的容器进程管理、信号处理和环境变量配置能力
• 安全处理：密钥获取过程符合云服务商安全最佳实践，避免密钥硬编码
• 跨平台兼容：兼容主流容器运行时环境（Docker、containerd等）

使用场景

• 云原生应用部署，需从AWS或Google Cloud获取敏感配置
• 微服务架构中需要安全管理服务间认证密钥的场景
• CI/CD管道中临时容器的安全密钥注入
• 边缘计算环境下资源受限的容器部署

使用方法

基本使用（Docker Run）

bash
docker run -d \
  -e AWS_ACCESS_KEY_ID=your_aws_access_key \
  -e AWS_SECRET_ACCESS_KEY=your_aws_secret_key \
  -e AWS_REGION=us-east-1 \
  -e AWS_SECRET_NAME=my-app-secrets \
  your-image-name

环境变量配置

Docker Compose示例

yaml
version: '3'
services:
  app:
    image: your-image-name
    environment:
      - AWS_REGION=us-west-2
      - AWS_SECRET_NAME=production/app-config
      - AWS_ACCESS_KEY_ID=${AWS_ACCESS_KEY_ID}
      - AWS_SECRET_ACCESS_KEY=${AWS_SECRET_ACCESS_KEY}
    restart: always

密钥获取流程

1. 容器启动后，初始化系统会检查环境变量配置
2. 根据配置的云服务商（AWS或GCP），使用提供的凭证连接对应密钥服务
3. 获取指定名称的密钥并注入到容器环境变量或文件中
4. 执行用户指定的应用程序或默认启动脚本

注意事项

• 确保云服务凭证具有最小权限原则，仅授予密钥读取权限
• 生产环境中建议通过容器编排平台的密钥管理功能传递云服务凭证，而非直接在命令行中指定
• GCP_SERVICE_ACCOUNT_KEY需进行base64编码后传递，避免特殊字符问题
• 不支持同时配置AWS和GCP密钥，需根据实际需求选择一种云服务提供商