Azure DevOps Pipeline集中密鑰管理

1、 Azure DevOps Pipeline集中密鑰管理Azure DevOps Pipeline 結合 Key Vault集中管理密鑰目 錄 TOC o 1-3 h z u HYPERLINK l _Toc526844737 一、背景概述 PAGEREF _Toc526844737 h 3 HYPERLINK l _Toc526844738 二、基礎知識 PAGEREF _Toc526844738 h 4 HYPERLINK l _Toc526844739 三、示例場景 PAGEREF _Toc526844739 h 5 HYPERLINK l _Toc526844740 四、配置步驟 PA

2、GEREF _Toc526844740 h 5 HYPERLINK l _Toc526844741 五、總結 PAGEREF _Toc526844741 h 14背景概述在使用TFS/VSTS進行應用程序編譯、部署階段通常會用到一些密鑰信息來完成程序的編譯以及發(fā)布。 比如（密碼、Token 、數(shù)據(jù)庫連接字符串等 ）。 為了保證密鑰的安全性，通常我們會使用TFS提供的加密變量來存儲這些信息，但是使用加密變量的方式可能會遇到一些問題：- 密鑰持有者不愿將密鑰信息存儲在TFS加密變量中，或者提供給TFS配置管理員。- 密鑰持有者需要頻繁的在各個項目的編譯發(fā)布流水線中配置密鑰。- 密鑰存在泄漏的風險。

3、- 密鑰一旦變更，所有項目的構建發(fā)布流水線密鑰都會失效。通過集中式的密鑰存儲服務，可以幫助我們解決上面遇到的問題。這里小編將介紹如何通過Azure Key Vault存儲密鑰，并在TFS/VSTS構建、發(fā)布流程中使用。基礎知識什么是TFS/VSTS加密變量：在構建發(fā)布定義中創(chuàng)建變量時，為了保護一些密鑰信息的安全，可以通過一個小鎖按鈕對變量進行加密，加密后的變量用戶看不到明文，有效的防止了密碼的泄漏，如下圖所示：什么是Azure Key Vault（密鑰管理庫）：- Azure Key Vault 是一個密鑰存儲服務， 可以用來安全地存儲和管理密鑰。- 使用Azure Key Vault可以集中

4、存儲密鑰、控制分發(fā)。 減少密鑰泄露。- TFS很好的集成了Azure Key Vault，可以在構建發(fā)布定義中方便的獲取密鑰。詳細說明：/zh-cn/key-vault/key-vault-overview示例場景小編使用Docker的方式進行應用程序的編譯、打包以及部署，并且使用的Azure容器鏡像倉庫進行Docker鏡像的管理，每個微服務的編譯發(fā)布過程中都需要訪問密鑰進行登錄完成鏡像的拉取、以及推送動作。小編需要將Azure容器鏡像倉庫的訪問密鑰存儲在Azure Key Vault并在多個發(fā)布定義中讀取并使用從Azure Key Vault獲取的容器倉庫訪問密鑰。配置步驟1. 創(chuàng)建Azur

5、e Key Vault登錄到Azure門戶 點擊創(chuàng)建資源 輸入key vault關鍵詞 選擇 key Vault 如下圖所示：輸入密鑰庫名稱，點擊創(chuàng)建點擊機密 生成/導入 -輸入密鑰名稱以及值，點擊創(chuàng)建2. 關聯(lián)Azure訂閱TFS關聯(lián)Azure訂閱之前需要先到Azure門戶完成Service Principle的創(chuàng)建，這里不做詳細介紹。請參考 /zh-cn/azure/azure-resource-manager/resource-group-create-service-principal-portal點擊服務 新建服務終結點 Azure資源管理器填寫Azure訂閱認證信息3. 配置變量組

6、為了方便此密鑰可以在多個構建、發(fā)布定義中使用，這里沒有使用進程變量，而是使用變量組的方式來實現(xiàn)變量共享。點擊版本和發(fā)布 庫 創(chuàng)建變量組變量組默認集成了Azure Key Vault，勾選Azure Key Vault并選擇對應的訂閱以及剛剛創(chuàng)建的Azure Key Vault實例，點擊添加。選擇需要導入到此變量組的密鑰，點擊確定添加完成后，如下圖所示4. 發(fā)布定義關聯(lián)變量組編輯發(fā)布定義，選擇變量 變量組 鏈接變量組選擇需要鏈接的變量組，并指定變量組作用范圍：發(fā)布：可以作用于整個發(fā)布定義，以及所有的環(huán)境，適合通用性的變量，比如我們剛剛創(chuàng)建的Azure容器倉庫訪問密鑰。環(huán)境：可以應用某個變量組到特定的環(huán)境，例如數(shù)據(jù)庫鏈接字符串，可以分別創(chuàng)建Dev、QA、Prod變量組，并分別指定變量組范圍到具體環(huán)境。點擊保存，完成變量組關聯(lián)5. 發(fā)布定義中使用變量由于Azure Key Vault已經(jīng)導入到了變量組，所以在發(fā)布中使用Key Vault的方式與使用普通變量的方式一樣。直接通過 $(ACR-PASSWORD) 即可使用，如下圖所示：觸發(fā)部署動作，部署階段系統(tǒng)會自動下載我們導入的Key Vault對象密鑰，并存儲到變量中，供用戶使用。如下圖所示：總結通過Azure Key Vault集中密鑰管理的方式，密鑰持有者不再需要存儲密鑰信息到構建、發(fā)布定義，有效的防止了密碼泄漏的風險，由于