之前用 k8s 时发现配置信息基本导入到 pod 中是以环境变量方式,所以在做其他设计时打算把一些如,数据库密码名称这样的配置信息直接放在环境变量中,这样在获取时直接从环境变量中获取,会不会稍微安全一点,目前仅在 go 中实验了下,但不确定有其他风险,所以这里请教一下
1
nulIptr 2021-03-11 10:15:03 +08:00
你怎么放在环境变量里面去?人工输入还是 dockfile ?后者的话不就相当于明文了。还有就是怎么更新环境变量?
再差也要搞个 ectd/consul 这种配置中心,敏感信息存 vault 。 基本不用动的东西比如配置中心的 url 可以放环境变量 |
2
clf 2021-03-11 10:54:50 +08:00
简单的可以考虑这样实现,优点是项目里不会有任何的数据库信息,缺点是 k8s 的 yml 里配置环境变量的时候还是带有密码等信息。
区别就是所有开发人员都可能知道 和 就运维自己知道生产环境密码。 |