pm2 deploy [node.js] - 隐藏凭据和敏感数据

时间:2017-10-30 21:08:16

标签: node.js git credentials password-protection pm2

我的目标是隐藏我的git repo中的凭据。 我的整个应用程序管道使用Jenkins MultiBranch + PM2和部署功能。

下面的示例应用程序工作正常,它使用pm2部署,没有功能问题,只是安全性。

但是,您可以看到正在使用密码设置环境变量。

PM2的原生工作流程在执行时从git中拉出来。因此,我需要以某种方式在git中安全地保存我的凭据,或者将它们放在我的仓库之外,但是在repo之外的任何文件都可能在部署节点之间丢失和遗忘。

通常情况下,我只是将硬编码的密码写入配置文件,但这意味着配置文件必须与repo完全隔离(不好,很容易丢失/遗忘)或密码被放入配置文件并签入(同样的问题我现在有)。

另一个想法是保留一个"模板"在repo中配置文件,然后仅在部署服务器上填写它。这样可以正常工作,但是在下次执行时,pm2将下拉回购,用git版本覆盖我的版本。

所以尽管如此 - 我对如何做到这一点感到有些不知所措。

BEST CASE场景我可以将这些信息放入Jenkins凭证管理器中,该管理器在构建时传递。但是,由于Jenkins实际上没有进行部署(pm2正在进行部署),我觉得这是不可能的。

我正在寻找想法和最佳做法来解决这个难题。您如何在应用中处理此问题?

{
  "apps" : [{
    "name"        : "myapp",
    "script"      : "myapp.js",
    "version"     : "0.0.1",
    "watch"       : true,
    "env": {
      "NODE_ENV": "development"
    },
    "env_production" : {
       "NODE_ENV": "production",
       "PORT": 3009,
       "DB_HOST":"proddb.example.com",
       "DB_PASS":"db_password"
    },
    "env_stage" : {
       "NODE_ENV": "stage",
       "PORT": 3009,
       "DB_HOST":"stagedb.example.com",
       "DB_PASS":"db_password"
    }
  }],
  "deploy" : {
    "stage" : {
      "user" : "pm2deploy",
      "host" : "node01stage.example.com",
      "ref"  : "origin/stage",
      "repo" : "git@example.com:devproj/myapp.git",
      "path" : "/var/www",
      "post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env stage"
    },
    "production" : {
      "user" : "pm2deploy",
      "host" : "node01prod.example.com",
      "ref"  : "origin/master",
      "repo" : "git@example.com:devproj/myapp.git",
      "path" : "/var/www",
      "post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env production"
    }
  }
}

1 个答案:

答案 0 :(得分:0)

使用RegEx Demo或类似方法使敏感数据远离pm2配置,并使用\S+?属性的env配置将ENV变量注入远程执行。

来自dotenv

deploy.production

示例设置:

.env:

// Environment variables that must be injected in all applications on this env
"env"  : {
  "NODE_ENV": "production"
}

ecosystem.config.js:

DB_HOST=proddb.example.com
DB_PASS=db_password

.env应该添加到require('dotenv').config(); module.exports = { "apps" : [{ "name" : "myapp", "script" : "myapp.js", "version" : "0.0.1", "watch" : true, "env": { "NODE_ENV": "development" }, "env_production" : { "NODE_ENV": "production", "PORT": 3009, }, "env_stage" : { "NODE_ENV": "stage", "PORT": 3009, } }], "deploy" : { "stage" : { "user" : "pm2deploy", "host" : "node01stage.example.com", "ref" : "origin/stage", "repo" : "git@example.com:devproj/myapp.git", "path" : "/var/www", "post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env stage" }, "production" : { "user" : "pm2deploy", "host" : "node01prod.example.com", "ref" : "origin/master", "repo" : "git@example.com:devproj/myapp.git", "path" : "/var/www", "post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env production", "env": { DB_HOST: process.env.DB_HOST, DB_PASS: process.env.DB_PASS, }, } } }; ,以便永远不会检入您的敏感数据。