我的目标是隐藏我的git repo中的凭据。 我的整个应用程序管道使用Jenkins MultiBranch + PM2和部署功能。
下面的示例应用程序工作正常,它使用pm2部署,没有功能问题,只是安全性。
但是,您可以看到正在使用密码设置环境变量。
PM2的原生工作流程在执行时从git中拉出来。因此,我需要以某种方式在git中安全地保存我的凭据,或者将它们放在我的仓库之外,但是在repo之外的任何文件都可能在部署节点之间丢失和遗忘。
通常情况下,我只是将硬编码的密码写入配置文件,但这意味着配置文件必须与repo完全隔离(不好,很容易丢失/遗忘)或密码被放入配置文件并签入(同样的问题我现在有)。
另一个想法是保留一个"模板"在repo中配置文件,然后仅在部署服务器上填写它。这样可以正常工作,但是在下次执行时,pm2将下拉回购,用git版本覆盖我的版本。
所以尽管如此 - 我对如何做到这一点感到有些不知所措。
BEST CASE场景我可以将这些信息放入Jenkins凭证管理器中,该管理器在构建时传递。但是,由于Jenkins实际上没有进行部署(pm2正在进行部署),我觉得这是不可能的。
我正在寻找想法和最佳做法来解决这个难题。您如何在应用中处理此问题?
{
"apps" : [{
"name" : "myapp",
"script" : "myapp.js",
"version" : "0.0.1",
"watch" : true,
"env": {
"NODE_ENV": "development"
},
"env_production" : {
"NODE_ENV": "production",
"PORT": 3009,
"DB_HOST":"proddb.example.com",
"DB_PASS":"db_password"
},
"env_stage" : {
"NODE_ENV": "stage",
"PORT": 3009,
"DB_HOST":"stagedb.example.com",
"DB_PASS":"db_password"
}
}],
"deploy" : {
"stage" : {
"user" : "pm2deploy",
"host" : "node01stage.example.com",
"ref" : "origin/stage",
"repo" : "git@example.com:devproj/myapp.git",
"path" : "/var/www",
"post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env stage"
},
"production" : {
"user" : "pm2deploy",
"host" : "node01prod.example.com",
"ref" : "origin/master",
"repo" : "git@example.com:devproj/myapp.git",
"path" : "/var/www",
"post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env production"
}
}
}
答案 0 :(得分:0)
使用RegEx Demo或类似方法使敏感数据远离pm2配置,并使用\S+?
属性的env
配置将ENV变量注入远程执行。
来自dotenv:
deploy.production
示例设置:
.env:
// Environment variables that must be injected in all applications on this env
"env" : {
"NODE_ENV": "production"
}
ecosystem.config.js:
DB_HOST=proddb.example.com
DB_PASS=db_password
.env应该添加到require('dotenv').config();
module.exports = {
"apps" : [{
"name" : "myapp",
"script" : "myapp.js",
"version" : "0.0.1",
"watch" : true,
"env": {
"NODE_ENV": "development"
},
"env_production" : {
"NODE_ENV": "production",
"PORT": 3009,
},
"env_stage" : {
"NODE_ENV": "stage",
"PORT": 3009,
}
}],
"deploy" : {
"stage" : {
"user" : "pm2deploy",
"host" : "node01stage.example.com",
"ref" : "origin/stage",
"repo" : "git@example.com:devproj/myapp.git",
"path" : "/var/www",
"post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env stage"
},
"production" : {
"user" : "pm2deploy",
"host" : "node01prod.example.com",
"ref" : "origin/master",
"repo" : "git@example.com:devproj/myapp.git",
"path" : "/var/www",
"post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env production",
"env": {
DB_HOST: process.env.DB_HOST,
DB_PASS: process.env.DB_PASS,
},
}
}
};
,以便永远不会检入您的敏感数据。