GAE में app.yaml के साथ सुरक्षित रूप से पर्यावरण चर का भंडारण

मुझे app.yamlजीएई पर तैनाती के लिए पर्यावरण चर के रूप में एपीआई कुंजी और अन्य संवेदनशील जानकारी संग्रहीत करने की आवश्यकता है । इसके साथ मुद्दा यह है कि अगर मैं app.yamlGitHub को धक्का देता हूं , तो यह जानकारी सार्वजनिक हो जाती है (अच्छी नहीं)। मैं एक डेटास्टोर में जानकारी संग्रहीत नहीं करना चाहता क्योंकि यह परियोजना के अनुरूप नहीं है। बल्कि, मैं एक फ़ाइल से उन मूल्यों को स्वैप करना चाहूंगा .gitignoreजो ऐप की प्रत्येक तैनाती पर सूचीबद्ध हैं ।

यहाँ मेरे app.yaml फ़ाइल है:

application: myapp
version: 3 
runtime: python27
api_version: 1
threadsafe: true

libraries:
- name: webapp2
  version: latest
- name: jinja2
  version: latest

handlers:
- url: /static
  static_dir: static

- url: /.*
  script: main.application  
  login: required
  secure: always
# auth_fail_action: unauthorized

env_variables:
  CLIENT_ID: ${CLIENT_ID}
  CLIENT_SECRET: ${CLIENT_SECRET}
  ORG: ${ORG}
  ACCESS_TOKEN: ${ACCESS_TOKEN}
  SESSION_SECRET: ${SESSION_SECRET}

कोई विचार?

यदि यह संवेदनशील डेटा है, तो आपको इसे स्रोत कोड में संग्रहीत नहीं करना चाहिए क्योंकि यह स्रोत नियंत्रण में जाँच की जाएगी। गलत लोग (आपके संगठन के अंदर या बाहर) इसे वहां पा सकते हैं। साथ ही, आपका विकास परिवेश संभवतः आपके उत्पादन परिवेश से भिन्न कॉन्फ़िगरेशन मानों का उपयोग करता है। यदि इन मूल्यों को कोड में संग्रहीत किया जाता है, तो आपको विकास और उत्पादन में अलग-अलग कोड चलाना होगा, जो कि गन्दा और बुरा व्यवहार है।

अपनी परियोजनाओं में, मैंने इस वर्ग का उपयोग करके डेटास्टोर में कॉन्फ़िगर डेटा डाला:

from google.appengine.ext import ndb

class Settings(ndb.Model):
  name = ndb.StringProperty()
  value = ndb.StringProperty()

  @staticmethod
  def get(name):
    NOT_SET_VALUE = "NOT SET"
    retval = Settings.query(Settings.name == name).get()
    if not retval:
      retval = Settings()
      retval.name = name
      retval.value = NOT_SET_VALUE
      retval.put()
    if retval.value == NOT_SET_VALUE:
      raise Exception(('Setting %s not found in the database. A placeholder ' +
        'record has been created. Go to the Developers Console for your app ' +
        'in App Engine, look up the Settings record with name=%s and enter ' +
        'its value in that record\'s value field.') % (name, name))
    return retval.value

आपका आवेदन मूल्य पाने के लिए ऐसा करेगा:

API_KEY = Settings.get('API_KEY')

यदि डेटास्टोर में उस कुंजी के लिए कोई मान है, तो आपको मिल जाएगा। यदि नहीं है, तो एक प्लेसहोल्डर रिकॉर्ड बनाया जाएगा और एक अपवाद फेंक दिया जाएगा। अपवाद आपको डेवलपर कंसोल पर जाने और प्लेसहोल्डर रिकॉर्ड को अपडेट करने के लिए याद दिलाएगा।

मुझे लगता है कि यह विन्यास मूल्यों को स्थापित करने से अनुमान लगाता है। यदि आप इस बात के बारे में अनिश्चित हैं कि कौन सा कॉन्फिगर वैल्यू सेट करना है, तो कोड को रन करें और यह आपको बताएगा!

ऊपर दिए गए कोड में ndb लाइब्रेरी का उपयोग किया गया है जो हुड के नीचे मेकचे और डेटास्टर का उपयोग करता है, इसलिए यह तेज़ है।

अपडेट करें:

jelder ने ऐप इंजन कंसोल में डेटास्टोर मानों को खोजने और उन्हें सेट करने का तरीका पूछा। यहां कैसे:

1. Https://console.cloud.google.com/datastore/ पर जाएं

2. यदि यह पहले से ही चयनित नहीं है, तो पृष्ठ के शीर्ष पर अपनी परियोजना का चयन करें।

3. में तरह ड्रॉपडाउन बॉक्स, चयन सेटिंग्स ।

4. यदि आपने ऊपर कोड चलाया है, तो आपकी चाबियाँ दिखाई देंगी। वे सभी मूल्य सेट नहीं होंगे । प्रत्येक पर क्लिक करें और उसका मूल्य निर्धारित करें।

उम्मीद है की यह मदद करेगा!

यह समाधान सरल है, लेकिन सभी अलग-अलग टीमों के अनुरूप नहीं हो सकता है।

सबसे पहले, पर्यावरण चर को env_variables.yaml में रखें , जैसे,

env_variables:
  SECRET: 'my_secret'

फिर, इस में शामिल हैं env_variables.yamlमेंapp.yaml

includes:
  - env_variables.yaml

अंत में, जोड़ने env_variables.yamlके लिए .gitignoreहै, ताकि गुप्त चर भंडार में मौजूद नहीं होगा।

इस मामले में, env_variables.yamlतैनाती प्रबंधकों के बीच साझा करने की आवश्यकता है।

मेरा दृष्टिकोण केवल ऐप इंजन ऐप के भीतर क्लाइंट रहस्यों को संग्रहीत करना है। क्लाइंट रहस्य न तो स्रोत नियंत्रण में हैं और न ही किसी स्थानीय कंप्यूटर पर। इसका यह लाभ है कि कोई भी App Engine सहयोगी क्लाइंट के रहस्यों के बारे में चिंता किए बिना कोड में बदलाव कर सकता है।

मैं सीधे दातास्तूर में ग्राहक रहस्यों को संग्रहीत करता हूं और रहस्यों को प्राप्त करने में सुधार की विलंबता के लिए मेम्चे का उपयोग करता हूं। डेटास्टोर इकाइयाँ केवल एक बार बनाने की आवश्यकता होती हैं और भविष्य के डिप्लॉयस में बनी रहेंगी। बेशक इन इंजनों को किसी भी समय अपडेट करने के लिए ऐप इंजन कंसोल का उपयोग किया जा सकता है।

एक बार की इकाई निर्माण करने के लिए दो विकल्प हैं:

• संस्थाओं को बनाने के लिए ऐप इंजन रिमोट एपीआई इंटरेक्टिव शेल का उपयोग करें।
• एक व्यवस्थापक केवल हैंडलर बनाएँ जो डमी मूल्यों के साथ संस्थाओं को इनिशियलाइज़ करेगा। मैन्युअल रूप से इस व्यवस्थापक हैंडलर को लागू करें, फिर उत्पादन क्लाइंट रहस्यों के साथ संस्थाओं को अपडेट करने के लिए ऐप इंजन कंसोल का उपयोग करें।

इसे करने का सबसे अच्छा तरीका, एक client_secrets.json फ़ाइल में कुंजियों को संग्रहीत करना है, और इसे आपकी .itignore फ़ाइल में सूचीबद्ध करके git पर अपलोड होने से बाहर रखा गया है। यदि आपके पास विभिन्न वातावरणों के लिए अलग-अलग कुंजियाँ हैं, तो आप ऐप आईडी क्या है, यह निर्धारित करने के लिए app_identity एपीआई का उपयोग कर सकते हैं और उचित रूप से लोड कर सकते हैं।

यहाँ एक काफी व्यापक उदाहरण है -> https://developers.google.com/api-client-library/python/guide/aaa_client_secrets ।

यहाँ कुछ उदाहरण कोड है:

# declare your app ids as globals ...
APPID_LIVE = 'awesomeapp'
APPID_DEV = 'awesomeapp-dev'
APPID_PILOT = 'awesomeapp-pilot'

# create a dictionary mapping the app_ids to the filepaths ...
client_secrets_map = {APPID_LIVE:'client_secrets_live.json',
                      APPID_DEV:'client_secrets_dev.json',
                      APPID_PILOT:'client_secrets_pilot.json'}

# get the filename based on the current app_id ...
client_secrets_filename = client_secrets_map.get(
    app_identity.get_application_id(),
    APPID_DEV # fall back to dev
    )

# use the filename to construct the flow ...
flow = flow_from_clientsecrets(filename=client_secrets_filename,
                               scope=scope,
                               redirect_uri=redirect_uri)

# or, you could load up the json file manually if you need more control ...
f = open(client_secrets_filename, 'r')
client_secrets = json.loads(f.read())
f.close()

आपके द्वारा पोस्ट किए जाने पर यह मौजूद नहीं था, लेकिन किसी और के लिए जो यहां ठोकर खाता है, Google अब सीक्रेट मैनेजर नामक एक सेवा प्रदान करता है ।

Google क्लाउड प्लेटफ़ॉर्म पर एक सुरक्षित स्थान पर अपने रहस्यों को संग्रहीत करने के लिए यह एक सरल रीस्ट सेवा है (एसडीके इसे लपेटकर, निश्चित रूप से)। यह डेटा स्टोर की तुलना में बेहतर दृष्टिकोण है, संग्रहीत रहस्यों को देखने के लिए अतिरिक्त चरणों की आवश्यकता होती है और एक महीन-दाने वाली अनुमति मॉडल होता है - यदि आपको ज़रूरत है तो आप अपनी परियोजना के विभिन्न पहलुओं के लिए अलग-अलग रहस्यों को सुरक्षित कर सकते हैं।

यह संस्करण प्रदान करता है, इसलिए आप पासवर्ड परिवर्तन को सापेक्ष आसानी से संभाल सकते हैं, साथ ही साथ एक मजबूत क्वेरी और प्रबंधन परत को सक्षम कर सकते हैं और यदि आवश्यक हो तो रनटाइम पर रहस्य बनाने में सक्षम हो सकते हैं।

अजगर एसडीके

उदाहरण का उपयोग:

from google.cloud import secretmanager_v1beta1 as secretmanager

secret_id = 'my_secret_key'
project_id = 'my_project'
version = 1    # use the management tools to determine version at runtime

client = secretmanager.SecretManagerServiceClient()

secret_path = client.secret_verion_path(project_id, secret_id, version)
response = client.access_secret_version(secret_path)
password_string = response.payload.data.decode('UTF-8')

# use password_string -- set up database connection, call third party service, whatever

यह समाधान deprecated appcfg.py पर निर्भर करता है

जब आप अपने ऐप को GAE (appcfg.py अपडेट) में तैनात करते हैं तो पर्यावरण चर को सेटअप करने के लिए आप appcfg.py के ई कमांड लाइन विकल्प का उपयोग कर सकते हैं

$ appcfg.py
...
-E NAME:VALUE, --env_variable=NAME:VALUE
                    Set an environment variable, potentially overriding an
                    env_variable value from app.yaml file (flag may be
                    repeated to set multiple variables).
...

अधिकांश उत्तर पुराने हैं। Google क्लाउड डेटास्टोर का उपयोग करना वास्तव में थोड़ा अलग है। https://cloud.google.com/python/getting-started/using-cloud-datastore

यहाँ एक उदाहरण है:

from google.cloud import datastore
client = datastore.Client()
datastore_entity = client.get(client.key('settings', 'TWITTER_APP_KEY'))
connection_string_prod = datastore_entity.get('value')

यह मानता है कि इकाई का नाम 'TWITTER_APP_KEY' है, जिस प्रकार की 'सेटिंग' है, और 'मान' TWITTER_APP_KEY इकाई की एक संपत्ति है।

ऐसा लगता है कि आप कुछ दृष्टिकोण कर सकते हैं। हमारे पास एक समान मुद्दा है और निम्नलिखित करें (आपके उपयोग-मामले के लिए अनुकूलित):

• एक ऐसी फाइल बनाएं जो किसी भी डायनामिक ऐप को स्टोर करती हो। अपने वैल्यू को अपने बिल्ड माहौल में सुरक्षित सर्वर पर रखें। यदि आप वास्तव में पागल हैं, तो आप मूल्यों को असममित रूप से एन्क्रिप्ट कर सकते हैं। आप इसे एक निजी रेपो में भी रख सकते हैं यदि आपको संस्करण नियंत्रण / डायनेमिक पुलिंग की आवश्यकता है, या इसे कॉपी करने के लिए एक शेल स्क्रिप्ट का उपयोग करें या इसे उपयुक्त स्थान से खींचें।
• परिनियोजन स्क्रिप्ट के दौरान गिट से खींचो
• गिट पुल के बाद, एक यम लाइब्रेरी का उपयोग करके शुद्ध अजगर में इसे पढ़कर और लिखकर app.yaml को संशोधित करें

ऐसा करने का सबसे आसान तरीका हडसन , बांस या जेनकिंस जैसे निरंतर एकीकरण सर्वर का उपयोग करना है । बस कुछ प्लग-इन, स्क्रिप्ट चरण, या वर्कफ़्लो जोड़ें जो उपरोक्त सभी आइटम जो मैंने उल्लेख किया है। आप पर्यावरण चर में पारित कर सकते हैं जो उदाहरण के लिए बांस में ही कॉन्फ़िगर किए गए हैं।

सारांश में, केवल आपके द्वारा उपयोग किए जाने वाले वातावरण में अपनी निर्माण प्रक्रिया के दौरान मूल्यों में धक्का दें। यदि आप पहले से ही अपने बिल्ड को स्वचालित नहीं कर रहे हैं, तो आपको होना चाहिए।

एक अन्य विकल्प विकल्प जो आपने कहा है, उसे डेटाबेस में डालें। यदि ऐसा न करने का आपका कारण यह है कि चीजें बहुत धीमी हैं, तो बस 2-परत कैश के रूप में मानों को मेमकेच में धकेल दें, और मूल्यों को पहली-परत कैश के रूप में पिन करें। यदि मान बदल सकते हैं और आपको उन्हें रिबूट किए बिना इंस्टेंस को अपडेट करने की आवश्यकता है, तो बस एक हैश रखें जिसे आप यह जान सकते हैं कि जब वे बदलते हैं या इसे किसी तरह से ट्रिगर करते हैं तो आप मूल्यों को बदल देते हैं। यही होना चाहिए।

आपको Google किलोमीटर के साथ चर को एन्क्रिप्ट करना चाहिए और इसे अपने स्रोत कोड में एम्बेड करना चाहिए। ( https://cloud.google.com/kms/ )

echo -n the-twitter-app-key | gcloud kms encrypt \
> --project my-project \
> --location us-central1 \
> --keyring THEKEYRING \
> --key THECRYPTOKEY \
> --plaintext-file - \
> --ciphertext-file - \
> | base64

अपने पर्यावरण चर (yaml फ़ाइल में) को तले हुए (एन्क्रिप्टेड और base64 एन्कोडेड) मान में रखें।

आपको डिक्रिप्ट करने पर आरंभ करने के लिए कुछ पायथन कोड।

kms_client = kms_v1.KeyManagementServiceClient()
name = kms_client.crypto_key_path_path("project", "global", "THEKEYRING", "THECRYPTOKEY")

twitter_app_key = kms_client.decrypt(name, base64.b64decode(os.environ.get("TWITTER_APP_KEY"))).plaintext

Google डेटास्टोर का उपयोग करने के आधार पर @ जैसन एफ का उत्तर करीब है, लेकिन लाइब्रेरी डॉक्स पर नमूना उपयोग के आधार पर कोड थोड़ा पुराना है । यहाँ मेरे लिए काम करने वाला स्निपेट है:

from google.cloud import datastore

client = datastore.Client('<your project id>')
key = client.key('<kind e.g settings>', '<entity name>') # note: entity name not property
# get by key for this entity
result = client.get(key)
print(result) # prints all the properties ( a dict). index a specific value like result['MY_SECRET_KEY'])

आंशिक रूप से इस माध्यम पोस्ट से प्रेरित है

बस यह नोट करना चाहता था कि मैंने जावास्क्रिप्ट / नोडज में इस समस्या को कैसे हल किया। स्थानीय विकास के लिए मैंने 'dotenv' npm पैकेज का उपयोग किया जो एक .env फ़ाइल से पर्यावरण चर को प्रक्रिया में लोड करता है ।env। जब मैंने GAE का उपयोग करना शुरू किया, तो मुझे पता चला कि पर्यावरण चर को एक 'app.yaml' फ़ाइल में सेट करने की आवश्यकता है। खैर, मैं स्थानीय विकास के लिए 'dotenv' और GAE के लिए 'app.yaml' का उपयोग नहीं करना चाहता था (और दो फ़ाइलों के बीच अपने पर्यावरण चर की नकल करता हूं), इसलिए मैंने एक छोटी सी स्क्रिप्ट लिखी है जो app.yaml पर्यावरण चर को प्रक्रिया में लोड करती है .env, स्थानीय विकास के लिए। उम्मीद है कि यह किसी की मदद करता है:

yaml_env.js:

(function () {
    const yaml = require('js-yaml');
    const fs = require('fs');
    const isObject = require('lodash.isobject')

    var doc = yaml.safeLoad(
        fs.readFileSync('app.yaml', 'utf8'), 
        { json: true }
    );

    // The .env file will take precedence over the settings the app.yaml file
    // which allows me to override stuff in app.yaml (the database connection string (DATABASE_URL), for example)
    // This is optional of course. If you don't use dotenv then remove this line:
    require('dotenv/config');

    if(isObject(doc) && isObject(doc.env_variables)) {
        Object.keys(doc.env_variables).forEach(function (key) {
            // Dont set environment with the yaml file value if it's already set
            process.env[key] = process.env[key] || doc.env_variables[key]
        })
    }
})()

अब इस फ़ाइल को अपने कोड में यथाशीघ्र शामिल करें, और आपका काम हो गया:

require('../yaml_env')

मार्टिन के जवाब का विस्तार

from google.appengine.ext import ndb

class Settings(ndb.Model):
    """
    Get sensitive data setting from DataStore.

    key:String -> value:String
    key:String -> Exception

    Thanks to: Martin Omander @ Stackoverflow
    https://stackoverflow.com/a/35261091/1463812
    """
    name = ndb.StringProperty()
    value = ndb.StringProperty()

    @staticmethod
    def get(name):
        retval = Settings.query(Settings.name == name).get()
        if not retval:
            raise Exception(('Setting %s not found in the database. A placeholder ' +
                             'record has been created. Go to the Developers Console for your app ' +
                             'in App Engine, look up the Settings record with name=%s and enter ' +
                             'its value in that record\'s value field.') % (name, name))
        return retval.value

    @staticmethod
    def set(name, value):
        exists = Settings.query(Settings.name == name).get()
        if not exists:
            s = Settings(name=name, value=value)
            s.put()
        else:
            exists.value = value
            exists.put()

        return True

Ge_env नामक एक pypi पैकेज है जो आपको क्लाउड डेटास्टोर में एपेंजिन के पर्यावरण चर को बचाने की अनुमति देता है। हुड के तहत, यह भी तेजी से मेम्चे का उपयोग करता है

उपयोग:

import gae_env

API_KEY = gae_env.get('API_KEY')

यदि डेटास्टोर में उस कुंजी के लिए कोई मान है, तो उसे वापस कर दिया जाएगा। यदि ऐसा नहीं है, तो एक प्लेसहोल्डर रिकॉर्ड बनाया __NOT_SET__जाएगा और ValueNotSetErrorउसे फेंक दिया जाएगा। अपवाद आपको डेवलपर कंसोल पर जाने और प्लेसहोल्डर रिकॉर्ड को अपडेट करने के लिए याद दिलाएगा ।

मार्टिन के जवाब के समान, यहां बताया गया है कि डेटास्टोर में कुंजी का मान कैसे अपडेट करें:

1. डेवलपर्स कंसोल में डेटास्टोर अनुभाग पर जाएं

2. यदि यह पहले से ही चयनित नहीं है, तो पृष्ठ के शीर्ष पर अपनी परियोजना का चयन करें।

3. में तरह ड्रॉपडाउन बॉक्स का चयन करें GaeEnvSettings।

4. कुंजी जिसके लिए एक अपवाद उठाया गया था, उसका मूल्य होगा __NOT_SET__।

पर जाएं पैकेज के GitHub पेज उपयोग / विन्यास पर अधिक जानकारी के लिए