Ich verwende verschlüsselte Daten in Chef und die geheime Datei ist derzeit im Quellcode vorhanden.Ist es möglich, die Kochbuchquelle von Chefkoch in einer verschlüsselten Datensammlung zu speichern?
secret = cookbook_file "/etc/chef/#{env_encrypted_data_bag_secret" do
source "env_encrypted_data_bag_secret"
mode 0755
owner "root"
group "root"
end
secret.run_action(:create)
In dem obigen Code wird die geheime Datei aus dem Repo files/default
Position des Chef geladen.
Es ist jedoch ein Sicherheitsproblem, die geheime Datei in den Quellcode zu stellen. Also bitte lass es mich wissen, wenn es möglich ist, Chef cookbook_file
Quelle in einem verschlüsselten Datenbeutel oder woanders zu speichern, anstatt im Chef Repo.
Sie möchten das Geheimnis für Ihre verschlüsselte Daten-Tasche, die Ihr Geheimnis enthält, in einer verschlüsselten Daten-Tasche in einem geheimen Datenbeutel Geheimnis, was? Ich kenne den Workflow, dass das verschlüsselte Datenpaketgeheimnis nicht aus gutem Grund in die Versionskontrolle eingecheckt, sondern manuell zwischen Arbeitsstationen kopiert und während des Boostrappings auf die Knoten bereitgestellt wird ('Messer Bootstrap' kopiert die Datei IIRC automatisch). – StephenKing
Siehe [die Standard-Bootstrap-Vorlage] (https://github.com/chef/chef/blob/a1e923cae62ea09c41bec46adc0b81a46d1ce27e/lib/chef/knife/bootstrap/templates/chef-full.erb#L198-L203). – StephenKing