如何在 CI 管道中存储多个客户端的机密文件?

【问题标题】:How to store secrets files for multiple clients in a CI pipeline?如何在 CI 管道中存储多个客户端的机密文件?
【发布时间】:2021-12-28 15:55:57
【问题描述】:

我正在开发的产品需要为不同的客户部署单独的应用实例。 我必须处理一些包含秘密令牌的 YAML 配置文件,每个客户端都有一个单独的 YAML 文件,其中包含自己的秘密。目前这些文件只存在于我的计算机上,当我手动部署时,我可以访问这些文件。

我们想为我们的部署引入 CI 管道。问题是我检查的所有提供程序都只支持键值对作为机密,因此将整个文件内容复制为像CLIENT_NAME_SECRET=<yaml file contents> 这样的机密是不方便的。像这样,我总是必须在我的编辑器中复制秘密编辑并重新上传到 CI。我的另一个想法是我将它们存储在一个私有 git 存储库中,并且只有 SSH 访问是可能的,所以只有 CI 和开发人员可以访问这些文件。这样存放安全吗?

为 CI 管道存储多个客户端机密的最佳做法是什么,您有什么建议?

【问题讨论】:

  • 您还可以签入加密文件并将用于解密的密钥保存为 CI 变量。这样,您只需在管道运行期间解密它们。只是要小心使用良好的加密。

标签: gitlab continuous-integration token gitlab-ci credentials


【解决方案1】:

您为什么不在 GitLab 中提供带有文件类型的秘密?

在您产品的存储库中,在 Settings > CI/CD 下,您可以将变量添加到您的 CI/CD 管道。

您可以选择包含文件类型。

然后您可以通过输入的键名直接访问该文件(例如使用cat $MY_VARIABLE_KEY

您可以为每个客户创建一个变量和作业,因此每个客户都将使用显式 YML 文件进行具体配置。

【讨论】:

  • 好的,但是当我想编辑 YAML 时,我总是必须在那个小值输入上进行,不是吗?我可以有多个具有不同环境变量的管道吗?
  • 当你想修改 YAML 时,你可以在那里进行(它会增加大小,顺便说一句),你可以定义不同的变量,例如 MY_CUSTOMER_ONEMY_CUSTOMER_TWO 并为每一位顾客。如果需要,您甚至可以根据环境进行区分。
猜你喜欢
  • 1970-01-01
  • 2021-10-07
  • 1970-01-01
  • 2013-03-17
  • 2015-04-20
  • 1970-01-01
  • 2021-07-15
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode