Azure DevOps Pipeline集中密鑰管理

1、 Azure DevOps Pipeline集中密鑰管理Azure DevOps Pipeline 結(jié)合 Key Vault集中管理密鑰目 錄 TOC o 1-3 h z u HYPERLINK l _Toc526844737 一、背景概述 PAGEREF _Toc526844737 h 3 HYPERLINK l _Toc526844738 二、基礎(chǔ)知識(shí) PAGEREF _Toc526844738 h 4 HYPERLINK l _Toc526844739 三、示例場(chǎng)景 PAGEREF _Toc526844739 h 5 HYPERLINK l _Toc526844740 四、配置步驟 PA

2、GEREF _Toc526844740 h 5 HYPERLINK l _Toc526844741 五、總結(jié) PAGEREF _Toc526844741 h 14背景概述在使用TFS/VSTS進(jìn)行應(yīng)用程序編譯、部署階段通常會(huì)用到一些密鑰信息來(lái)完成程序的編譯以及發(fā)布。 比如（密碼、Token 、數(shù)據(jù)庫(kù)連接字符串等 ）。 為了保證密鑰的安全性，通常我們會(huì)使用TFS提供的加密變量來(lái)存儲(chǔ)這些信息，但是使用加密變量的方式可能會(huì)遇到一些問(wèn)題：- 密鑰持有者不愿將密鑰信息存儲(chǔ)在TFS加密變量中，或者提供給TFS配置管理員。- 密鑰持有者需要頻繁的在各個(gè)項(xiàng)目的編譯發(fā)布流水線中配置密鑰。- 密鑰存在泄漏的風(fēng)險(xiǎn)。

3、- 密鑰一旦變更，所有項(xiàng)目的構(gòu)建發(fā)布流水線密鑰都會(huì)失效。通過(guò)集中式的密鑰存儲(chǔ)服務(wù)，可以幫助我們解決上面遇到的問(wèn)題。這里小編將介紹如何通過(guò)Azure Key Vault存儲(chǔ)密鑰，并在TFS/VSTS構(gòu)建、發(fā)布流程中使用?；A(chǔ)知識(shí)什么是TFS/VSTS加密變量：在構(gòu)建發(fā)布定義中創(chuàng)建變量時(shí)，為了保護(hù)一些密鑰信息的安全，可以通過(guò)一個(gè)小鎖按鈕對(duì)變量進(jìn)行加密，加密后的變量用戶看不到明文，有效的防止了密碼的泄漏，如下圖所示：什么是Azure Key Vault（密鑰管理庫(kù)）：- Azure Key Vault 是一個(gè)密鑰存儲(chǔ)服務(wù)， 可以用來(lái)安全地存儲(chǔ)和管理密鑰。- 使用Azure Key Vault可以集中

4、存儲(chǔ)密鑰、控制分發(fā)。 減少密鑰泄露。- TFS很好的集成了Azure Key Vault，可以在構(gòu)建發(fā)布定義中方便的獲取密鑰。詳細(xì)說(shuō)明：/zh-cn/key-vault/key-vault-overview示例場(chǎng)景小編使用Docker的方式進(jìn)行應(yīng)用程序的編譯、打包以及部署，并且使用的Azure容器鏡像倉(cāng)庫(kù)進(jìn)行Docker鏡像的管理，每個(gè)微服務(wù)的編譯發(fā)布過(guò)程中都需要訪問(wèn)密鑰進(jìn)行登錄完成鏡像的拉取、以及推送動(dòng)作。小編需要將Azure容器鏡像倉(cāng)庫(kù)的訪問(wèn)密鑰存儲(chǔ)在Azure Key Vault并在多個(gè)發(fā)布定義中讀取并使用從Azure Key Vault獲取的容器倉(cāng)庫(kù)訪問(wèn)密鑰。配置步驟1. 創(chuàng)建Azur

5、e Key Vault登錄到Azure門戶 點(diǎn)擊創(chuàng)建資源 輸入key vault關(guān)鍵詞 選擇 key Vault 如下圖所示：輸入密鑰庫(kù)名稱，點(diǎn)擊創(chuàng)建點(diǎn)擊機(jī)密 生成/導(dǎo)入 -輸入密鑰名稱以及值，點(diǎn)擊創(chuàng)建2. 關(guān)聯(lián)Azure訂閱TFS關(guān)聯(lián)Azure訂閱之前需要先到Azure門戶完成Service Principle的創(chuàng)建，這里不做詳細(xì)介紹。請(qǐng)參考 /zh-cn/azure/azure-resource-manager/resource-group-create-service-principal-portal點(diǎn)擊服務(wù) 新建服務(wù)終結(jié)點(diǎn) Azure資源管理器填寫Azure訂閱認(rèn)證信息3. 配置變量組

6、為了方便此密鑰可以在多個(gè)構(gòu)建、發(fā)布定義中使用，這里沒(méi)有使用進(jìn)程變量，而是使用變量組的方式來(lái)實(shí)現(xiàn)變量共享。點(diǎn)擊版本和發(fā)布 庫(kù) 創(chuàng)建變量組變量組默認(rèn)集成了Azure Key Vault，勾選Azure Key Vault并選擇對(duì)應(yīng)的訂閱以及剛剛創(chuàng)建的Azure Key Vault實(shí)例，點(diǎn)擊添加。選擇需要導(dǎo)入到此變量組的密鑰，點(diǎn)擊確定添加完成后，如下圖所示4. 發(fā)布定義關(guān)聯(lián)變量組編輯發(fā)布定義，選擇變量 變量組 鏈接變量組選擇需要鏈接的變量組，并指定變量組作用范圍：發(fā)布：可以作用于整個(gè)發(fā)布定義，以及所有的環(huán)境，適合通用性的變量，比如我們剛剛創(chuàng)建的Azure容器倉(cāng)庫(kù)訪問(wèn)密鑰。環(huán)境：可以應(yīng)用某個(gè)變量組到特定的環(huán)境，例如數(shù)據(jù)庫(kù)鏈接字符串，可以分別創(chuàng)建Dev、QA、Prod變量組，并分別指定變量組范圍到具體環(huán)境。點(diǎn)擊保存，完成變量組關(guān)聯(lián)5. 發(fā)布定義中使用變量由于Azure Key Vault已經(jīng)導(dǎo)入到了變量組，所以在發(fā)布中使用Key Vault的方式與使用普通變量的方式一樣。直接通過(guò) $(ACR-PASSWORD) 即可使用，如下圖所示：觸發(fā)部署動(dòng)作，部署階段系統(tǒng)會(huì)自動(dòng)下載我們導(dǎo)入的Key Vault對(duì)象密鑰，并存儲(chǔ)到變量中，供用戶使用。如下圖所示：總結(jié)通過(guò)Azure Key Vault集中密鑰管理的方式，密鑰持有者不再需要存儲(chǔ)密鑰信息到構(gòu)建、發(fā)布定義，有效的防止了密碼泄漏的風(fēng)險(xiǎn)，由于