M
А чем vault не устраивает?
я еще до него не добрался)
Size: a a a
2020 May 10
M
Используй гуй для хранения сенситив дата. Там есть возможность это делать и в логах тогда светится ничего не будет
всмысле разбить на отдельные переменные с флагом masked?
A
всмысле разбить на отдельные переменные с флагом masked?
Нет.
Вот кажись оно: https://docs.gitlab.com/ee/ci/variables/
Вот кажись оно: https://docs.gitlab.com/ee/ci/variables/
A
всмысле разбить на отдельные переменные с флагом masked?
Там в гуе, в настройках проекта, есть возможность сохранить пароли и прочее и вызывать как переменные в пайпе
A
В логах будут *
M
Нет.
Вот кажись оно: https://docs.gitlab.com/ee/ci/variables/
Вот кажись оно: https://docs.gitlab.com/ee/ci/variables/
сейчас гитлаб лежит, но на сколько понимаю, это раздел с описанием переменных. там можно передавать в качестве string и в качестве file
M
как понимаю, file называют условно, это та же портянка из строк, которую ты выводишь в пайплайн и записываешь в файл, а потом парсишь нужной функцией/утилитой. верно?
M
Там в гуе, в настройках проекта, есть возможность сохранить пароли и прочее и вызывать как переменные в пайпе
да, и там же можно задать тип file
M
о, заработал гитлаб
A
как понимаю, file называют условно, это та же портянка из строк, которую ты выводишь в пайплайн и записываешь в файл, а потом парсишь нужной функцией/утилитой. верно?
Нет, это как вызов env из окружения
${env-variable}
${env-variable}
M
Нет, это как вызов env из окружения
${env-variable}
${env-variable}
да, и вот, например, аналогично для типа file https://docs.gitlab.com/ee/ci/variables/#custom-environment-variables-of-type-file
M
echo "$KUBE_CA_PEM" > "$(pwd)/kube.ca.pem"
A
Аля `echo $HOME"
A
echo "$KUBE_CA_PEM" > "$(pwd)/kube.ca.pem"
Ну да...ток я бы не клал это в файл т.к. файл можно прочесть
A
А просто ехо выдаст тебе *
M
Ну да...ток я бы не клал это в файл т.к. файл можно прочесть
так он же только в пайплайне
M
думаю, тот, кто может читать логи, имеет доступ к секретам
A
думаю, тот, кто может читать логи, имеет доступ к секретам
Не факт. Рбак тебе в помощь
M
Не факт. Рбак тебе в помощь
можно ссылку на доку?
A
можно ссылку на доку?
Вот https://docs.gitlab.com/charts/installation/rbac.html
Но это не то. Я не так знаком, с рбаком в гитлабе, но должна быть возможность закрыть разработчикам доступ к добавлению переменных окружении, а значит и чтению просто так. Если не на уровнн проекта, то выше на уровне группы (или как оно там)
Но это не то. Я не так знаком, с рбаком в гитлабе, но должна быть возможность закрыть разработчикам доступ к добавлению переменных окружении, а значит и чтению просто так. Если не на уровнн проекта, то выше на уровне группы (или как оно там)