热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

在公共存储库中将gitlabCI/CD变量保密

如何解决《在公共存储库中将gitlabCI/CD变量保密》经验,为你挑选了1个好方法。

我在Gitlab上有一个私人项目,设置了CI / CD,用于从Google Container Registry推送/拉取docker映像,并将我的软件部署到GCP中的Kubernetes Engine。

有没有一种方法可以使我的项目公开,而不必担心用于连接到GCP的秘密泄露?特别是,我担心当我的存储库公开时,任何人都可以echo $GCP_REPOSITORY_SECRET.gitlab-ci.yml文件中的某处添加一行,然后推其分支并查看CI的输出,以“发现”我的秘密。Gitlab有防止这种情况发生的机制吗?从根本上讲,是否存在最佳实践,可以为公共存储库保密部署秘密?



1> VonC..:

从根本上讲,是否存在最佳实践,可以为公共存储库保密部署秘密?

是的,其中没有任何敏感数据。曾经

在GCP级别,此处列出了机密管理选项。

将GitLab-CI连接到GCP时,您可以在此处看到安全含义,该含义kubectl get secret -o jsOnpath="{['data']['ca\.crt']}" | base64 -D与正确的帐户和RBAC一起使用

整个集群的安全性基于可信任开发人员的模型,因此应仅允许受信任的用户控制您的集群。


请注意,GitLab 11.7(2019年1月)允许:

将Kubernetes应用秘密配置为Auto DevOps管道的变量

操作员和管理员要求在应用程序存储库之外进行机密配置,以降低风险和敏感数据的暴露。
为了满足此需求,GitLab现在提供了将机密配置为环境变量的功能,这些变量可用于在Kubernetes集群中运行的Auto DevOps应用程序。

只需在变量之前加上K8S_SECRET_,相关的Auto DevOps CI管道就会使用您的应用程序秘密变量来填充Kubernetes秘密。


推荐阅读
  • 前言: 网上搭建k8s的文章很多,但很多都无法按其说明在阿里云ecs服务器成功搭建,所以我就花了些时间基于自己成功搭建k8s的步骤写了个操作手册,希望对想搭建k8s环境的盆友有所帮 ... [详细]
  • AI图像处理人像动漫化
    图像处理人像动漫化百度接口提供的具体实现importrequests,base64#百度AI开放平台鉴权函数defget_access_token():url& ... [详细]
  • 二进制安装Kubernetes高可用集群(上)
    二进制安装Kuber ... [详细]
  • 本文深入探讨了数据库性能优化与管理策略,通过实例分析和理论研究,详细阐述了如何有效提升数据库系统的响应速度和处理能力。文章首先介绍了数据库性能优化的基本原则和常用技术,包括索引优化、查询优化和存储管理等。接着,结合实际应用场景,讨论了如何利用容器化技术(如Docker)来部署和管理数据库,以提高系统的可扩展性和稳定性。最后,文章还提供了具体的配置示例和最佳实践,帮助读者在实际工作中更好地应用这些策略。 ... [详细]
  • Docker网络基础探讨了如何通过高效的技术手段实现跨主机容器间的顺畅通信与访问。本文深入分析了Docker网络架构,特别是其在多主机环境下的应用,为Go语言开发者提供了宝贵的实践指导和理论支持。 ... [详细]
  • 0157.K 升级 kubeadm 集群_一主两从
    升级kube ... [详细]
  • 本文作为“实现简易版Spring系列”的第五篇,继前文深入探讨了Spring框架的核心技术之一——控制反转(IoC)之后,将重点转向另一个关键技术——面向切面编程(AOP)。对于使用Spring框架进行开发的开发者来说,AOP是一个不可或缺的概念。了解AOP的背景及其基本原理,对于掌握这一技术至关重要。本文将通过具体示例,详细解析AOP的实现机制,帮助读者更好地理解和应用这一技术。 ... [详细]
  • 结语 | 《探索二进制世界:软件安全与逆向分析》读书笔记:深入理解二进制代码的逆向工程方法
    结语 | 《探索二进制世界:软件安全与逆向分析》读书笔记:深入理解二进制代码的逆向工程方法 ... [详细]
  • 微信支付授权目录配置详解及操作步骤
    在使用微信支付时,若通过WeixinJSBridge.invoke方法调用支付功能,可能会遇到“当前页面URL未注册”的错误提示,导致get_brand_wcpay_request:fail调用微信JSAPI支付失败。为解决这一问题,需要正确配置微信支付授权目录,确保支付页面的URL已成功注册。本文将详细介绍微信支付授权目录的配置步骤和注意事项,帮助开发者顺利完成支付功能的集成与调试。 ... [详细]
  • 如何在Android应用中设计和实现专业的启动欢迎界面(Splash Screen)
    在Android应用开发中,设计与实现一个专业的启动欢迎界面(Splash Screen)至关重要。尽管Android设计指南对使用Splash Screen的态度存在争议,但一个精心设计的启动界面不仅能提升用户体验,还能增强品牌识别度。本文将探讨如何在遵循最佳实践的同时,通过技术手段实现既美观又高效的启动欢迎界面,包括加载动画、过渡效果以及性能优化等方面。 ... [详细]
  • Envoy 流量分配策略优化
    在本研究中,我们对Envoy的流量分配策略进行了优化,旨在提高系统的稳定性和性能。实验环境包括一个前端代理服务(Envoy,IP地址为172.31.57.10)和五个后端服务。通过调整Envoy的配置,实现了更高效的流量分发和负载均衡,显著提升了整体系统的响应速度和可靠性。 ... [详细]
  • 加密要用到Crypto安装包pipinstallCrypto新建两个模块rsautils.py,rsatest.py直接上代码,rsautils.py#!usrbinenv ... [详细]
  • yuminstallpython-keystoneclientLoadedplugins:fastestmirror,refresh-packagekit,security ... [详细]
  • Hello,IcreatedawebsiteusingHugov0.55.6usingtheAcademictemplat ... [详细]
  • 本文整理了Java中org.ops4j.pax.exam.options.MavenArtifactProvisionOption.version()方法的一些代码示例 ... [详细]
author-avatar
顺hw应大自然改造大自然
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有