使用GitLab CI和Docker Swarm正确管理多个环境变量

问题描述

在项目中使用Docker，有多个服务以及大量的环境变量（主要是各种数据库、邮件、Samba等的凭据，总共有30多个条目）。之前使用docker_compose.yml和docker-compose up -d --build命令进行部署，优势是广泛使用了环境变量文件（env文件）。例如，我有多个env文件，可以在docker-compose.yml中使用它们：

env_file:
  - ./envs/common.env
  - ./envs/mail.env
  - ./envs/mysql.env

现在我们设置了GitLab CI，并计划使用Docker Swarm，因此不再手动创建生产环境文件，而是使用CI/CD。在GitLab中，主要的方式是逐个创建变量。虽然可以创建文件类型的变量，将env文件的内容放入其中，但管理这些内部变量会比较困难。那么现在应该如何处理环境变量呢？
– 是在GitLab UI中创建大量变量，然后在env文件中汇总它们吗？
– 还是使用文件类型的变量？
– 还是在docker-compose.yml文件中将它们传递给服务，就像这样：

environment:
  VAR1: value1
  VAR2: value2
  ...
  VAR20: value20

• 或者我们是否应该使用Docker Secrets或某些配置管理工具？

解决方案

请注意以下操作可能因版本差异而有所不同，以及任何涉及敏感信息的操作应谨慎操作。

方案1：使用GitLab CI变量

你可以使用GitLab CI的变量功能来管理环境变量。在项目的CI/CD设置中，你可以添加环境变量，这些变量会在CI/CD过程中被引用。然后，你可以在构建过程中将这些变量传递给Docker容器。
以下是在GitLab CI中管理环境变量的步骤：
1. 进入项目的设置，在左侧导航栏中选择”CI/CD”。
2. 在”Variables”部分，添加你需要的环境变量，例如VAR1、VAR2等。
3. 在项目的CI/CD配置文件中（如.gitlab-ci.yml），将这些变量传递给Docker容器的构建过程。

例如，如果你的CI/CD配置如下：

stages:
  - build

build:
  stage: build
  image: docker:latest
  script:
    - docker build -t myapp:$CI_COMMIT_REF_NAME --build-arg VAR1=$VAR1 --build-arg VAR2=$VAR2 .

在上面的示例中，我们在构建阶段使用了GitLab CI的变量$VAR1和$VAR2，将它们作为构建参数传递给Docker容器的构建过程。

方案2：使用Docker Secrets

如果你的环境变量包含敏感信息，如密码或凭据，你可以考虑使用Docker Secrets来更安全地管理它们。Docker Secrets允许你将敏感数据存储在Docker Swarm集群中，只有授权的服务可以访问这些数据。

以下是使用Docker Secrets来管理环境变量的步骤：
1. 在Docker Swarm集群中创建一个秘密（Secret），将环境变量的值作为秘密的内容。

echo "your_secret_value" | docker secret create my_secret -

1. 在你的服务定义（如docker-compose.yml）中，将秘密映射到容器的环境变量。

services:
  my_service:
    image: your_image
    environment:
      - VAR1_FILE=/run/secrets/my_secret
    secrets:
      - my_secret
secrets:
  my_secret:
    external: true

在上面的示例中，我们将秘密my_secret映射到了容器的环境变量VAR1_FILE，容器内部可以通过读取/run/secrets/my_secret来获取秘密的内容。

使用Docker Secrets可以更加安全地管理敏感环境变量，避免了将敏感信息暴露在GitLab CI的变量中。

方案3：结合使用

你还可以结合使用方案1和方案2，根据环境变量的敏感程度来决定是否使用Docker Secrets。对于非敏感的环境变量，可以使用GitLab CI变量；对于敏感的环境变量，可以使用Docker Secrets。

根据你的项目需求和安全要求，选择合适的方案或结合使用方案，以达到更好的环境变量管理效果。

注意：在使用敏感信息时，始终要注意安全性，遵循最佳安全实践。

结论

在使用GitLab CI和Docker Swarm时，你可以使用GitLab CI变量或Docker Secrets来管理环境变量。根据环境变量的性质和安全需求，选择合适的方法来更好地管理和保护你的环境变量信息。通过这些方法，你可以更有效地进行CI/CD流程，并确保环境变量的安全性和正确性。