Мы пытаемся запустить зал с Убежищем.Причиной использования хранилища является надежное хранение секретов.Некоторые параметры, которые мы хотим сохранить в хранилище, - это закрытый ключ github, чтобы получить доступ к репозиториям github, а также имя пользователя и пароль для доступа к CloudFoundry.Предполагается, что такого рода секреты не будут передаваться ...
Звучит все очень хорошо, однако довольно легко восстановить содержимое хранимых секретов в хранилище, когда у них есть доступ к группе участников.
Пример: сохранение следующих данных в хранилище
vault write concourse/main/cat-name value=Garfield
vault write concourse/main/dog-name value=Odie
Запуск следующего конвейера покажет содержимое сохраненных параметров:
jobs:
- name: show-animal-names
plan:
- task: show-animal-names
config:
platform: linux
image_resource:
type: docker-image
source:
repository: busybox
params:
CAT_NAME: ((cat-name))
DOG_NAME: ((dog-name))
run:
path: env
В результате:
fly -t concourse trigger-job -j publishing-outputs/show-animal-names -w
started publishing-outputs/show-animal-names #1
initializing
running env
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOME=/root
CAT_NAME=Garfield
DOG_NAME=Odie
USER=root
succeeded
Таким образом, также имя пользователя, пароли, github-private-keys и все другие вещи, хранящиеся в хранилище, могут быть получены для всех, кому был предоставлен доступ к конвейерам обновления в зале.
Есть лиспособ использовать конкурс и хранить секреты такого рода, так что не показано?