我的目标是从git仓库中隐藏凭据。
我的整个应用程序管道均使用具有部署功能的Jenkins MultiBranch + PM2。

下面的示例应用程序运行良好,可以与pm2一起部署,功能没有问题,只是安全性问题。

但是,如您所见,环境变量是使用密码设置的。

PM2的本机工作流程在执行时从git中提取。因此,我需要以某种方式将我的凭据安全地保存在git中,或者将它们放在我的存储库之外,但是在存储库之外拥有任何文件都可能会在部署节点之间丢失并忘记。

通常,我只是将硬编码的密码写入配置文件中,但这意味着该配置文件要么必须与存储库完全隔离(不好,很容易丢失/遗忘),要么将密码放入配置文件中,然后签入(我现在遇到的同一问题)。

另一个想法是在存储库中保留一个“模板”配置文件,然后仅在部署服务器上填写它。这样做会很好,但是在下一次执行时,pm2将拉下存储库,并用git版本覆盖我的版本。

因此,尽管如此-我对如何执行此操作有点不知所措。

最佳案例方案我可以将凭据放入在构建时通过的Jenkins凭据管理器中。但是,由于不是Jenkins实际在进行部署(pm2在进行部署),所以我认为这是不可能的。

我正在寻找想法和最佳实践来解决这个难题。您如何在应用程序中处理此问题?

{
  "apps" : [{
    "name"        : "myapp",
    "script"      : "myapp.js",
    "version"     : "0.0.1",
    "watch"       : true,
    "env": {
      "NODE_ENV": "development"
    },
    "env_production" : {
       "NODE_ENV": "production",
       "PORT": 3009,
       "DB_HOST":"proddb.example.com",
       "DB_PASS":"db_password"
    },
    "env_stage" : {
       "NODE_ENV": "stage",
       "PORT": 3009,
       "DB_HOST":"stagedb.example.com",
       "DB_PASS":"db_password"
    }
  }],
  "deploy" : {
    "stage" : {
      "user" : "pm2deploy",
      "host" : "node01stage.example.com",
      "ref"  : "origin/stage",
      "repo" : "[email protected]:devproj/myapp.git",
      "path" : "/var/www",
      "post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env stage"
    },
    "production" : {
      "user" : "pm2deploy",
      "host" : "node01prod.example.com",
      "ref"  : "origin/master",
      "repo" : "[email protected]:devproj/myapp.git",
      "path" : "/var/www",
      "post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env production"
    }
  }
}

最佳答案

使用dotenv或类似方法使敏感数据远离pm2 config,并为env配置使用deploy.production属性将ENV var注入到远程执行中。

pm2 docs

// Environment variables that must be injected in all applications on this env
"env"  : {
  "NODE_ENV": "production"
}


设置示例:

.env:

DB_HOST=proddb.example.com
DB_PASS=db_password


生态系统.config.js:

require('dotenv').config();

module.exports = {
  "apps" : [{
    "name"        : "myapp",
    "script"      : "myapp.js",
    "version"     : "0.0.1",
    "watch"       : true,
    "env": {
      "NODE_ENV": "development"
    },
    "env_production" : {
       "NODE_ENV": "production",
       "PORT": 3009,
    },
    "env_stage" : {
       "NODE_ENV": "stage",
       "PORT": 3009,
    }
  }],
  "deploy" : {
    "stage" : {
      "user" : "pm2deploy",
      "host" : "node01stage.example.com",
      "ref"  : "origin/stage",
      "repo" : "[email protected]:devproj/myapp.git",
      "path" : "/var/www",
      "post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env stage"
    },
    "production" : {
      "user" : "pm2deploy",
      "host" : "node01prod.example.com",
      "ref"  : "origin/master",
      "repo" : "[email protected]:devproj/myapp.git",
      "path" : "/var/www",
      "post-deploy" : ". ~/.bash_profile && npm install && pm2 startOrRestart ecosystem.json --env production",
      "env": {
        DB_HOST: process.env.DB_HOST,
        DB_PASS: process.env.DB_PASS,
      },
    }
  }
};


.env应该添加到.gitignore,以便永远不会检入您的敏感数据。

关于node.js - pm2 deploy [node.js]- stash 凭证和敏感数据,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/47024187/

10-14 17:22