使用 cloudify 时在哪里存储凭据答案

【问题标题】：Where to store credentials when using cloudify使用 cloudify 时在哪里存储凭据
【发布时间】：2012-11-17 05:30:18
【问题描述】：

我开始使用cloudify，本着DevOps 的精神，infrastructure is code 我希望将密码存储在一个安全且集中的地方。
在我看来，我应该将凭据放在相关服务的.properties 文件中，但是对纯密码进行版本控制似乎是一个坏主意，而不是版本控制似乎也是一个坏主意（未版本化的代码）。

我知道chef 有encrypted data bags，我想知道cloudify 是否有类似的东西？如果没有，我应该注意不同的最佳实践吗？

谢谢

【问题讨论】：

标签： java security cloud credentials cloudify

【解决方案1】：

随着即将发布的 Cloudify 2.3.0 版本，您将能够在 install-* 命令行中为属性设置添加覆盖。因此，您的配方应该包含一个带有默认密码（可能为空）的属性文件。这个密码实际上不应该做任何事情。

当您实际安装服务时，请使用覆盖来设置实际密码。这会将明文密码保留在版本化属性文件之外。

【讨论】：

这里有一个 2.3.0 早期访问版本：cloudifysource.org/downloads/early_access.html
感谢您的回答。您建议将实际密码存储在哪里？它可以非常快速地输入数十个密码。再次感谢。
这取决于你想要做什么。在源代码控制系统中存储密码通常是个坏主意。您可以使用第三方身份服务，例如stormpath，或者只使用安全的本地存储库，例如keepass。您甚至可以将密码存储在 Cloudify 属性存储中，但您仍需要先对其进行加密，让您存储主密钥。
感谢您的评论。我想通了，因为我希望我的 CI 服务器（jenkins）触发部署，我想我只会有一个只有其用户才能读取的文本文件（通过操作系统权限）。我仍然认为为不同环境提供不同数据包（和加密数据包）的厨师方式可以更好地维护，但这可能是一个品味问题。谢谢。