更新时间:2024-10-18 GMT+08:00
通过IaC分发敏感配置
敏感配置项录入后,需要通过IaC部署后生效变成已发布状态,微服务才能获取。
前提条件
需要具备AppStage服务运维岗位权限或运维管理员权限,权限申请操作请参见申请权限。
步骤一:生成敏感配置项坐标
无论通过什么方式获取敏感配置,都需要有一个唯一标识,让STS可以准确查找到敏感配置项,该标识称为“敏感配置项坐标”。
- 进入AppStage运维中心。
- 在顶部导航栏选择服务。
- 单击
,选择。 - 选择左侧导航栏的“敏感配置管理”。
- 勾选需要分发的敏感配置,单击“导出敏感配置ID”,即可生成敏感配置项坐标。
敏感配置项坐标的生成规则为:
- 服务级别的配置项: Service/{ServiceName}/{name}/{tag}
- 微服务级别的配置项:MicroService/{ServiceName}/{MicroServiceName}/{name}/{tag}
步骤二:通过IaC发布敏感配置
业务使用Runtime部署并按照IaC规范配置敏感配置项之后,在部署时Runtime会从STS管理台拉取加密配置项,注入到容器的环境变量中,并通过配置渲染工具将敏感配置渲染到业务的配置文件中。
- 在IaC脚本中的业务配置项配置文件中指定敏感配置项坐标。
此处以在config_records.yaml文件中增加一个名为spring.redis.password的敏感配置项为例。
spring.redis.password: MicroService/{ServiceName}/{MicroServiceName}/spring.redis.password/default - 在IaC脚本中的业务配置项属性定义文件中,声明该配置项为敏感配置项。
此处以在config_schema.yaml中声明微服务的敏感业务配置项为例。
type: object properties: spring.redis.password: format: sensitive
父主题: 在ACMS中管理敏感配置
