草庐IT

svn - 服务器/数据库配置文件(包括密码)是否应该存储在源代码管理中?

coder 2023-06-23 原文

我想听听一些最佳实践...

假设一个 web 应用程序与几个不同的生产服务器(数据库等)交互......包含数据库密码的配置文件是否应该存储在源代码管理中(例如,git、svn)?

如果没有,跟踪您的应用程序需要访问的服务器数据库(或其他相关)密码的最佳方法是什么?

编辑:添加了奖励以鼓励更多讨论并听取更多人认为的最佳实践。

最佳答案

这里没有单一的“银弹”答案,这在很大程度上取决于细节。

首先,我认为最佳实践是将所有源代码与单独存储库中的配置分开。因此,源代码仍然是源代码,但它的安装或部署(使用配置、密码等)是另一回事。通过这种方式,您可以将开发人员的任务与系统管理员的任务牢固地分开,并最终可以建立 2 个不同的团队,做他们擅长的事情。

当您拥有单独的源代码存储库 + 部署存储库时,您最好的下一个选择是考虑部署选项。我在这里看到的最好方法是使用所选操作系统的典型部署程序(即,以操作系统维护人员的方式为所选操作系统构建自治包)。

例如,Red Hat 或 Debian 打包程序通常意味着从外部站点获取软件 tarball(即从源代码 VCS 导出源代码)、解包、编译和准备准备部署的包。理想情况下,部署本身应该意味着只执行一个快速简单的命令来安装软件包,例如 rpm -U package.rpm , dpkg --install package.debapt-get dist-upgrade (假设您构建的软件包转到 apt-get 能够找到它们的存储库)。

显然,要使其以这种方式工作,您必须为处于完全工作状态的系统的所有组件提供所有配置文件,包括所有地址和凭据。

为了更简洁,让我们考虑一个典型的“小服务”情况:一个 PHP 应用程序部署在运行 apache/mod_php 的 n 个应用程序服务器上,访问 m 个 MySQL 服务器。所有这些服务器(或虚拟容器,这并不重要)都驻留在 protected 专用网络中。为了让这个例子更简单,让我们假设所有真实的互联网连接都是由 k 个 http 加速器/反向代理(例如 nginx/lighttpd/apache)组成的集群,它们具有非常简单的配置(只是要转发到的内部 IP)。

我们有什么东西可以让他们连接起来并充分工作?

  • MySQL 服务器:设置 IP/主机名、设置数据库、提供登录名和密码
  • PHP 应用程序:设置 IP/主机名,创建将提及 MySQL 服务器 IP、登录名、密码和数据库的配置文件

    • 请注意,这里有两种不同的“类型”信息:IP/主机名是固定的,您可能希望一劳永逸地分配它们。另一方面,登录名和密码(甚至数据库名称)在这里纯粹是为了连接目的 - 确保 MySQL 确实是我们的 PHP 应用程序连接到它。所以,我在这里的建议是拆分这两种“类型”:
  • “永久”信息,例如IP,应该存储在一些VCS中(不同于源代码VCS)
  • “ transient ”信息,例如 2 个应用程序之间的密码,不应存储,而是在生成部署包期间生成。

    • 最后一个也是最棘手的问题仍然存在:如何创建部署包?有多种技术可用,两种主要方法是:
  • 从 VCS1 导出的源代码 + 从 VCS2 的“永久”配置 + 从 VCS3 的构建脚本 = 包
  • 源代码在 VCS1 中; VCS2 是一个分布式版本控制(如 git 或 hg),它本质上包含 VCS1 的“分支”+配置信息+构建脚本,可以生成 .我个人更喜欢这种方法,它更短,最终更容易使用,但学习曲线可能有点陡峭,特别是对于必须掌握 git 或 hg 的管理员。

    • 对于上面的示例,我将创建如下包:
  • my-application-php - 这将取决于 mod_php、apache 并包含生成的文件,如 /etc/my-php-application/config.inc.php这将包括 MySQL 数据库 IP/主机名和登录名/密码生成为 md5(current source code revision + salt) .该软件包将安装在 n 个应用程序服务器中的每一个上。理想情况下,它应该能够安装在干净安装的操作系统上,并在没有任何手动操作的情况下创建一个完全工作的应用程序集群节点。
  • my-application-mysql - 这将取决于 MySQL-server 并且将包括安装后脚本:
  • 启动 MySQL 服务器并确保它会在操作系统启动时自动启动
  • 连接到 MySQL 服务器
  • 检查所需的数据库是否存在
  • 如果没有 - 创建数据库,使用内容引导它并使用密码创建登录名(与 /etc/my-php-application/config.inc.php 中生成的登录名和密码相同,使用 md5 算法)
  • 如果是 - 连接到数据库,应用迁移以将其升级到新版本,删除所有旧的登录名/密码并重新创建新的登录名/密码对(再次使用 md5(revision + salt) 方法生成)

    • 最终,它应该带来使用单个命令(如 generate-packages && ssh-all apt-get dist-upgrade)升级部署的好处。 .此外,您不会在任何地方存储应用程序间密码,它们会在每次更新时重新生成。

    这个相当简单的示例说明了您可以在此处使用的许多方法 - 但最终,由您决定哪种解决方案在这里更好,哪个解决方案过大。如果您将在此处或作为单独的问题提供更多详细信息,我将很乐意尝试深入了解细节。

    关于svn - 服务器/数据库配置文件(包括密码)是否应该存储在源代码管理中?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4243174/

    svn服务器codebrgitversion-controlpasswordsconfig

    有关svn - 服务器/数据库配置文件(包括密码)是否应该存储在源代码管理中?的更多相关文章

    1. ruby - 使用 ruby​​ 和 savon 的 SOAP 服务 - 2

      我正在尝试使用ruby​​和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我

    2. ruby - i18n Assets 管理/翻译 UI - 2

      我正在使用i18n从头开始​​构建一个多语言网络应用程序,虽然我自己可以处理一大堆yml文件,但我说的语言(非常)有限,最终我想寻求外部帮助帮助。我想知道这里是否有人在使用UI插件/gem(与django上的django-rosetta不同)来处理多个翻译器,其中一些翻译器不愿意或无法处理存储库中的100多个文件,处理语言数据。谢谢&问候,安德拉斯(如果您已经在ruby​​onrails-talk上遇到了这个问题,我们深表歉意) 最佳答案 有一个rails3branchofthetolkgem在github上。您可以通过在Gemfi

    3. ruby - 具有身份验证的私有(private) Ruby Gem 服务器 - 2

      我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..

    4. ruby - 解析 RDFa、微数据等的最佳方式是什么,使用统一的模式/词汇(例如 schema.org)存储和显示信息 - 2

      我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i

    5. ruby-on-rails - Rails 源代码 : initialize hash in a weird way? - 2

      在rails源中:https://github.com/rails/rails/blob/master/activesupport/lib/active_support/lazy_load_hooks.rb可以看到以下内容@load_hooks=Hash.new{|h,k|h[k]=[]}在IRB中,它只是初始化一个空哈希。和做有什么区别@load_hooks=Hash.new 最佳答案 查看rubydocumentationforHashnew→new_hashclicktotogglesourcenew(obj)→new_has

    6. ruby-on-rails - 启动 Rails 服务器时 ImageMagick 的警告 - 2

      最近,当我启动我的Rails服务器时,我收到了一长串警告。虽然它不影响我的应用程序,但我想知道如何解决这些警告。我的估计是imagemagick以某种方式被调用了两次?当我在警告前后检查我的git日志时。我想知道如何解决这个问题。-bcrypt-ruby(3.1.2)-better_errors(1.0.1)+bcrypt(3.1.7)+bcrypt-ruby(3.1.5)-bcrypt(>=3.1.3)+better_errors(1.1.0)bcrypt和imagemagick有关系吗?/Users/rbchris/.rbenv/versions/2.0.0-p247/lib/ru

    7. ruby-on-rails - s3_direct_upload 在生产服务器中不工作 - 2

      在Rails4.0.2中,我使用s3_direct_upload和aws-sdkgems直接为s3存储桶上传文件。在开发环境中它工作正常,但在生产环境中它会抛出如下错误,ActionView::Template::Error(noimplicitconversionofnilintoString)在View中,create_cv_url,:id=>"s3_uploader",:key=>"cv_uploads/{unique_id}/${filename}",:key_starts_with=>"cv_uploads/",:callback_param=>"cv[direct_uplo

    8. ruby-on-rails - 浏览 Ruby 源代码 - 2

      我的主要目标是能够完全理解我正在使用的库/gem。我尝试在Github上从头到尾阅读源代码,但这真的很难。我认为更有趣、更温和的踏脚石就是在使用时阅读每个库/gem方法的源代码。例如,我想知道RubyonRails中的redirect_to方法是如何工作的:如何查找redirect_to方法的源代码?我知道在pry中我可以执行类似show-methodmethod的操作,但我如何才能对Rails框架中的方法执行此操作?您对我如何更好地理解Gem及其API有什么建议吗?仅仅阅读源代码似乎真的很难,尤其是对于框架。谢谢! 最佳答案 Ru

    9. ruby - Ruby 有 `Pair` 数据类型吗? - 2

      有时我需要处理键/值数据。我不喜欢使用数组,因为它们在大小上没有限制(很容易不小心添加超过2个项目,而且您最终需要稍后验证大小)。此外,0和1的索引变成了魔数(MagicNumber),并且在传达含义方面做得很差(“当我说0时,我的意思是head...”)。散列也不合适,因为可能会不小心添加额外的条目。我写了下面的类来解决这个问题:classPairattr_accessor:head,:taildefinitialize(h,t)@head,@tail=h,tendend它工作得很好并且解决了问题,但我很想知道:Ruby标准库是否已经带有这样一个类? 最佳

    10. ruby-on-rails - 获取 inf-ruby 以使用 ruby​​ 版本管理器 (rvm) - 2

      我安装了ruby​​版本管理器,并将RVM安装的ruby​​实现设置为默认值,这样'哪个ruby'显示'~/.rvm/ruby-1.8.6-p383/bin/ruby'但是当我在emacs中打开inf-ruby缓冲区时,它使用安装在/usr/bin中的ruby​​。有没有办法让emacs像shell一样尊重ruby​​的路径?谢谢! 最佳答案 我创建了一个emacs扩展来将rvm集成到emacs中。如果您有兴趣,可以在这里获取:http://github.com/senny/rvm.el

    随机推荐