ブログ | NGINX

1Password CLI を使用して NGINX Plus コンテナを安全に構築する

NGINX-F5 水平黒タイプ RGB の一部
コーディ・グリーン サムネイル
コーディ・グリーン
2023年8月29日公開

F5 NGINX Plusを定期的に使用している場合は、新しい機能や機能を試すためにコンテナを構築している可能性があります。 また、NGINX Plus コンテナを構築すると、NGINX リポジトリの証明書やキーなどの機密情報がローカル ファイル システムに保存されることになります。 機密ファイルを.gitignoreリポジトリ ファイルに追加するのは簡単ですが、そのプロセスは理想的でも安全でもありません。実際、エンジニアが誤って機密情報をリポジトリにコミットする例は数多くあります。

より良い方法は、秘密管理ソリューションを使用することです。 個人的に、私は長年の1Passwordファンであり、最近そのCLI ツールを発見しました。 このツールにより、開発者やプラットフォーム エンジニアは日常のワークフローでシークレットを簡単に操作できるようになります。

このブログ記事では、1Password CLI を使用して NGINX Plus コンテナを安全に構築する方法について説明します。 この例では、 NGINX Plus サブスクリプションCLI ツールがインストールされた1Password サブスクリプション、シェル (Bash または Zsh) のある環境へのアクセス、およびDocker がインストールされていることを前提としています。

1Passwordに秘密を保存する

最初のステップは、API 認証情報、ファイル、メモ、パスワードなど、複数の種類の秘密をサポートする 1Password に秘密を保存することです。 この NGINX Plus の使用例では、1Password のセキュア ファイル機能を活用します。

NGINX リポジトリの証明書とキーは、 MyF5 ポータルから取得できます。 1Password のドキュメントに従って、NGINX リポジトリの証明書とキーの両方に対して安全なドキュメントを作成します。 2 つの安全なドキュメントを作成したら、手順に従って1Password 秘密参照を収集します

注記: この記事の執筆時点では、1Password は同じレコード上の複数のファイルをサポートしていません。

NGINX Plusコンテナを構築する

ここで、安全なファイルとその秘密参照 Uniform Resource Identifiers (URI) を活用する NGINX Plus コンテナを構築します。 この手順では、 NGINX Plus 管理者ガイドのサンプルDockerfile を使用します。

dockerビルドプロセスを準備する

Dockerfile を新しいディレクトリに保存したら、 docker ビルドプロセスを準備します。 1Password シークレットをdocker buildに渡すには、まず各シークレット参照 URI を環境変数に保存します。 次に、Dockerfile を保存したディレクトリで新しい Bash ターミナルを開きます。

Bash ターミナルに次のコマンドを入力します。 

エクスポート NGINX_CRT="op://Work/nginx-repo-crt/nginx-repo.crt" エクスポート NGINX_KEY="op://Work/nginx-repo-key/nginx-repo.key"

シークレット参照 URI を置き換える

op runコマンドを使用すると、1Password CLI は環境変数内のシークレット参照 URI をシークレットの値に置き換えることができます。 docker buildコマンドでこれを活用して、NGINX リポジトリの証明書とキーをビルド コンテナーに渡すことができます。

コンテナの構築を完了するには、前の手順で使用したのと同じターミナルで次のコマンドを実行します。 

op 実行 --docker build --no-cache --secret id=nginx-key,env=NGINX_KEY --secret id=nginx-crt,env=NGINX_CRT -t nginxplus --load 。

このコマンドでは、 op run はdocker buildコマンドを実行し、1Password シークレット参照 URI を使用して 2 つの環境変数参照 ( NGINX_CRTNGINX_KEY ) を検出します。 opコマンドは、URI をシークレットの実際の値に置き換えます。

今すぐ始めましょう

簡単な手順に従い、 1Password CLI を使用すると、証明書とキーをローカル ファイル システムに保存せずに、NGINX Plus リポジトリに対して NGINX Plus コンテナを構築し、セキュリティを強化する環境を構築できます。

NGINX Plus を初めてご利用になる場合は、今すぐ30 日間の無料トライアルを開始するか、お問い合わせの上、使用事例についてご相談ください

F5 NGINX に関するブログ投稿をもっと読む ›

「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"