Хранить секреты в Bitbucket Pipelines, а затем развертывать на App Engine?

Question

Предположим, что в репозитории bitbucket имеется проект, в котором хранится секретный ключ API в файле конфигурации, например config. json:

{
    "secret": 
}

Возможно ли обратиться к переменной "secret" из переменных в bitbucket? конвейер, а затем автоматически развернуть его в Google App Engine, чтобы App Engine «знал» секретную переменную?

Answer 1

Вы можете использовать команду envsubst в своем конвейере.

Ваш файл json будет выглядеть так и будет иметь имя config_template.json:

{
    "secret": $SECRET
}

Шаг в вашей линии будет выглядеть так:

- step:
    name: replace secret
    script:
      # pipe config_template.json to envsubst and store result in a file called config.json
      - cat config_template.json | envsubst > config.json
      # show config.json TODO: Remove this when you are sure it is working!
      - cat config.json
      # Deploy config.json to App Engine here!

Это предполагает, что у вас есть envsubst в вашем образе сборки и переменная хранилища с именем SECRET в вашем конвейере.