您可以阅读官方文档中的相应部分。

要使用机密，您需要在docker- compose.yml文件中添加两件事。首先，一个secrets:定义所有机密的顶级块。然后，另一个secrets:每个服务下块，它指定 该
秘密服务应该接收。

作为示例，创建Docker将理解的两种类型的秘密： 外部 秘密和 文件 秘密。

1.使用以下命令创建“外部”秘密 docker secret create

第一件事：要在Docker上使用机密，您所在的节点必须是集群的一部分。

$ docker swarm init

接下来，创建一个“外部”秘密：

$ echo "This is an external secret" | docker secret create my_external_secret -

（请确保在最后加上破折号-。很容易错过。）

2.将另一个秘密写入文件

$ echo "This is a file secret." > my_file_secret.txt

3.创建docker-compose.yml同时使用两个秘密的文件

现在已经创建了两种类型的机密，下面是docker-compose.yml将读取这两种机密并将其写入web服务的文件：

version: '3.1'

services:
  web:
    image: nginxdemos/hello
    secrets:                    # secrets block only for 'web' service
     - my_external_secret
     - my_file_secret

secrets:                        # top level secrets block
  my_external_secret:
    external: true
  my_file_secret:
    file: my_file_secret.txt

Docker可以从自己的数据库（例如使用制成的秘密docker secret create）或文件中读取秘密。上面显示了两个示例。

4.部署测试堆栈

使用以下方法部署堆栈：

$ docker stack deploy --compose-file=docker-compose.yml secret_test

这将创建一个web名为的服务实例secret_test_web。

5.验证由服务创建的容器具有两个秘密

使用docker exec -ti [container] /bin/sh验证的秘密存在。

（注意：在下面的docker exec命令中，该m2jgac...部分在您的计算机上将有所不同。运行docker ps以查找您的容器名称。）

$ docker exec -ti secret_test_web.1.m2jgacogzsiaqhgq1z0yrwekd /bin/sh

# Now inside secret_test_web; secrets are contained in /run/secrets/
root@secret_test_web:~$ cd /run/secrets/

root@secret_test_web:/run/secrets$ ls
my_external_secret  my_file_secret

root@secret_test_web:/run/secrets$ cat my_external_secret
This is an external secret

root@secret_test_web:/run/secrets$ cat my_file_secret
This is a file secret.

如果一切顺利，我们在步骤1和2中创建的两个秘密应该位于web部署堆栈时创建的容器内。