如何解决在云中模糊应用设置文件,但允许本地应用开发
我正计划将本地存储的项目迁移到 Azure DevOps 中,以实现无缝的CI / DI体验。
Azure密钥库将用于保护.Net应用程序的应用程序配置文件中存储的机密。因此,解决方案的配置文件中将不包含任何敏感信息。json和xml配置文件中的所有变量都将替换为pipelines/release中的azure devops。
但是现在出现了一个问题-如果所有地方的代码库中的所有机密都被掩盖了-那么如何在Visual Studio中本地构建和测试解决方案?
我想出了几种理论上的解决方案;
- 将整个
appsettings.Development.json文件(或这些文件中的特定机密)存储在Azure Key Vault中。然后进行VSIXVS扩展,可以在代码签出后连接到Vault并检索特定解决方案的设置文件(或秘密值)。
此方法的缺点是.Net框架(与.net核心不同)Web应用程序正在使用Web.Config文件,因此我无法使用单独的web.development.config文件进行调试。据我所知,在构建期间未应用XML转换。我打算将所有appsettings.X.json,Web.X.config添加到git-ignore。
- 创建一个
MsBuild生成后任务,该任务将连接到Vault并在启动应用程序之前替换变量(在bin文件夹中)。
缺点是,要在团队中的其他开发人员之间分发MbBuild任务并不容易(与vsix扩展名不同)。但是-它只允许弄乱bin文件夹中的值,而使代码-版本化的配置文件不受影响。自然,必须在azure devops中跳过此任务。
是否存在用于在开发人员之间共享开发配置文件而不将其暴露在云中的通用安全方法?在这一点上,我觉得第二种选择是解决之道,所以我想听听专家的任何建议。
解决方法
实际上,您可以在Web.Config项目-https://github.com/Microsoft/slow-cheetah/的多环境中使用SlowCheetah。我将它成功地用于我的一个项目。
对于主题-我已经考虑了针对您的问题的多种解决方案:
在本地环境中使用模拟器
对于Azure中的各种服务,您可以使用模拟器(存储帐户,Cosmos DB,服务总线),这些模拟器使您的开发人员可以在本地进行开发而不会泄露秘密。缺点-很难与他人共享环境。
使用托管开发环境
将开发设置存储在存储库中并不总是一个坏主意。如果您可以确保在开发环境中不存储任何敏感数据,则可以始终坚持轻松存储的开发秘密。您还可以实现短暂的开发环境,但这将需要一种机制来旋转机密或始终创建具有相同机密的环境。
介绍配置提供程序
您不必依赖从本地文件加载的设置。对于所有机密信息,您可以在代码中引入一个配置提供程序,该提供程序将连接到Key Vault并根据您的环境设置获取机密信息。无论如何,这将很棘手,因为您必须以某种方式“识别自己”才能连接到Key Vault并阅读机密。
根据您的需求,我会选择1> 3> 2。
,您是否研究过Azure应用程序配置? https://docs.microsoft.com/en-us/azure/azure-app-configuration/overview
通过这种方式,您可以将代码与秘密分开,只需要一个连接字符串即可连接到您在云中管理的应用配置。
,我将使用Azure Key Vault进行开发和生产。但是,为开发人员和生产人员创建一个单独的密钥库实例。那么就像开发人员需要一个证书来获取所有本地开发配置一样,就像在生产环境中一样,您可以以相同的方式获取配置。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。