docker swarm unlock-key コマンドを使って Swarm アンロックキーを管理する方法

はじめに

この実験では、docker swarm unlock-key コマンドを使用して Docker Swarm のアンロックキーを管理する方法を探ります。まず、Docker Swarm を初期化し、その後、現在のアンロックキーを表示する方法を学びます。このアンロックキーは、再起動後に Swarm をアンロックするために不可欠です。

その後、セキュリティを強化するために Swarm のアンロックキーをローテーションする方法を実演します。最後に、簡潔な出力を得るためにクワイエットフラグを使用してアンロックキーのみを表示する方法を説明します。この実験では、Docker Swarm 環境におけるこの重要なセキュリティ機能を管理するための実践的な手順を提供します。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL docker(("Docker")) -.-> docker/SystemManagementGroup(["System Management"]) docker/SystemManagementGroup -.-> docker/system("Manage Docker") subgraph Lab Skills docker/system -.-> lab-555245{{"docker swarm unlock-key コマンドを使って Swarm アンロックキーを管理する方法"}} end

現在の Swarm アンロックキーを表示する

このステップでは、Docker Swarm の現在の Swarm アンロックキーを表示する方法を学びます。Swarm アンロックキーは、Swarm が再起動された後にそれをアンロックするために使用されます。これは、Swarm への不正アクセスを防止するためのセキュリティ対策です。

まず、Docker Swarm を初期化する必要があります。docker swarm init コマンドを使用します。このコマンドは、新しい Swarm を初期化し、現在のノードをマネージャーノードにします。

docker swarm init

Swarm が初期化されたことを示す、以下のような出力が表示されるはずです。

Swarm initialized: current node (xxxxxxxxxxxx) is now a manager.

To add a worker to this swarm, run the following command:

    docker swarm join --token SWMTKN-1-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 192.168.1.100:2377

To add a manager to this swarm, run 'docker swarm join-token manager' and follow the instructions.

これで Swarm が初期化されたので、docker swarm unlock-key コマンドを使用して現在の Swarm アンロックキーを表示できます。

docker swarm unlock-key

このコマンドは、現在の Swarm アンロックキーを出力します。それは長い文字列のように見えます。

Swarm unlock key: SWMKEY-1-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

このキーは、再起動後に Swarm をアンロックするために必要であるため、安全に保管してください。

Swarm アンロックキーをローテーションする

このステップでは、Swarm アンロックキーをローテーションする方法を学びます。アンロックキーをローテーションすることは、特に現在のキーが漏洩している可能性があると疑う場合に、良好なセキュリティ対策となります。

Swarm アンロックキーをローテーションするには、docker swarm unlock-key --rotate コマンドを使用します。このコマンドは新しいアンロックキーを生成し、現在のキーを置き換えます。

docker swarm unlock-key --rotate

コマンドを実行した後、新しいアンロックキーを示す以下のような出力が表示されます。

Swarm unlock key: SWMKEY-1-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

新しいキーは前のステップで見たキーと異なっていることに注意してください。古いキーはもはや無効であり、Swarm をアンロックするために使用することはできません。新しいキーを安全に保管するようにしてください。

ローテーション後の Swarm アンロックキーを表示する

このステップでは、現在のアンロックキーを再度表示することで、Swarm アンロックキーが正常にローテーションされたことを確認します。

最初のステップと同じコマンド docker swarm unlock-key を使用します。

docker swarm unlock-key

このコマンドの出力には、前のステップでキーをローテーションした際に生成された新しいアンロックキーが表示されるはずです。

Swarm unlock key: SWMKEY-1-yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy

このキーをステップ 1 で見たキーと比較してください。両者は異なっているはずで、これによりローテーションが成功したことが確認できます。

クワイエットフラグを使用して Swarm アンロックキーのみを表示する

このステップでは、追加の出力なしで Swarm アンロックキーのみを表示する方法を学びます。これは、アンロックキーの取得をスクリプト化したい場合に便利です。

アンロックキーのみを表示するには、docker swarm unlock-key コマンドに --quiet または -q フラグを使用します。

docker swarm unlock-key --quiet

このコマンドは、「Swarm unlock key:」の接頭辞なしで、Swarm アンロックキー自体のみを出力します。

SWMKEY-1-yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy

これは前のステップで見たのと同じアンロックキーですが、出力がクリーンで、スクリプトで使用する場合に解析しやすくなっています。

まとめ

この実験では、Docker Swarm のアンロックキーの管理方法を学びました。まず、Swarm を初期化し、docker swarm unlock-key コマンドを使用して現在のアンロックキーを表示しました。このキーは、再起動後に Swarm をアンロックするために重要です。

次に、セキュリティ上の理由から docker swarm unlock-key --rotate コマンドを使用して Swarm アンロックキーをローテーションする方法を調べました。最後に、ローテーション後のキーを表示する方法と、docker swarm unlock-key コマンドに --quiet フラグを使用してキー自体のみを表示する方法を学びました。