Секреты в Google Cloud Bucket

Мы хотим иметь производственную среду воздушного потока, но не знаем, как правильно обращаться с секретами, в частности с файлами JSON клиента google bigquery.

Мы попытались настроить секреты кубернетов в автоматически созданном кластере кубернетов (автоматически путем создания среды Google Cloud composer (airflow)). В настоящее время мы просто помещаем файлы в корзину, но нам нужен способ получше.

def get_bq_client ():
    """ returns bq client """
    return bq.Client.from_service_account_json(
        join("volumes", "bigquery.json")
    )

Нам нужна некоторая форма надлежащего управления необходимыми секретами. К сожалению, использование переменных воздушного потока не сработает, потому что мы не можем создать клиентский объект, используя файл json в виде текста.


python airflow airflow-scheduler
person Josko de Boer    schedule 03.01.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Одно из эффективных решений - зашифровать файлы JSON и поместить их в корзину. Пока ключ дешифрования существует в корзине и нигде больше, вы сможете просто проверить код с секретами для некоторого управления версиями и в проверке корзины и расшифровать.

person Mike Tung    schedule 03.01.2019
comment
Мы собираемся использовать этот способ, но он не является предпочтительным. Я напишу что-нибудь для связи с API другого вычислительного движка в будущем. - person Josko de Boer; 06.02.2019