継続的な配備におけるパスワードの管理

Question

TeamCityを使用して継続的な統合環境を展開しています。 CIプロセスを進め、継続的な導入に移行するにつれて、運用パスワードの管理方法に問題が生じました。 configの他の変更については、Web.Configトランスフォームを使用します。しかし、私は本当にビルドプロファイルでプロダクションパスワードを焼きたいとは思わない。

CI/CDを入手する前に、Web.configを使用し、aspnet_regiisを使用して接続文字列を復号化し、パスワードを変更してから再暗号化します。明らかに、これはエラーが発生しやすく、CI/CDの精神では全くありません。

私は基本的には、展開スクリプトで何かを使ってファイルの接続文字列セクションを書き換えてから暗号化するという考え方がいくつかありましたが、共通の問題である必要があります。一般的に認められている解決策でなければなりません。しかし、これまでのところ、私はそれを見つけることができません。 「正しい道」はありますか？

ありがとうございます！

Answer 1

TeamCity 7.0から入手可能なソリューションの1つは、型付きパラメータを使用することです（http://confluence.jetbrains.net/display/TCD7/What%27s+New+in+TeamCity+7.0#What%27sNewinTeamCity7.0 - 型付けされたビルドパラメータ）。パスワードをTeamCityで定義し、ビルドスクリプトに何らかの形で渡すことができます（環境変数またはビルドスクリプトのプロパティとして）。

TeamCityは、このようなパラメータの値を独自の設定ファイルとスクランブルされた形式のデータベースに格納します。ビルドログまたはビルドパラメータページにパスワードが表示された場合は、*に置き換えられます。

Answer 2

設定変換を使用します。暗号化/復号化を処理できる独自の変換を構築することもできます。最も簡単な方法は、release.web.config内のプロダクション文字列を暗号化し、変換文字列を置き換える処理を行うことです。

http://msdn.microsoft.com/en-us/library/dd465318.aspx

http://sedodream.com/2010/09/09/ExtendingXMLWebconfigConfigTransformation.aspx

これはます。aspnet_regiisを呼び出すためにポストビルドイベントを使用し、あなたのために動作しない場合。設定変換を拡張することを選択した場合は、それを使って何かを行うことができます。あなたがそれらにアクセスできる限り、暗号鍵は月にある可能性があります。

Answer 3

INISの接続文字列を定義できません。彼らは多くを変えますか？私はちょうどサイトのためにそれらをIISに設定して、アプリケーションの一部としてそれらを配備しないと思うか、少なくとも私のIIS設定を優先します。