Terraformを使用してDigital Oceanに液滴を作成すると、作成されたマシンのパスワードがメールで送信されます。 documentation on the Digital Ocean providerが正しい場合は、使用する鍵のSSH IDを指定することもできます。Terraformを使って液滴をブートストラップする方法は?
Terraformを使用してデータセンターをブートストラップする場合、どのオプションを選択する必要がありますか?
どういうわけか、すべてのマシン(パスワード自体を使用していると間違っていると思われる)に別のパスワードを設定するのは間違いですが、すべてのマシンが自分のSSHキーにリンクされていれば間違っていると感じます。
どうすればよいですか?ここで良い(最高?)練習と見なすことができる方法はありますか?このためにのみSSH鍵ペアを作成し、TerraformファイルをGitにコミットする必要がありますか? ...?
前述のとおり、インスタンスでパスワードを使用すると、かなりの数のパスワードを取得すると絶対に苦痛になります。また、適切に管理されている(秘密にされている)SSH鍵よりも安全性が低くなります。明らかに、オートメーションツールの帯域外で配信されるいくつかの資格情報に残りのオートメーションをリンクするにはいくつかの問題を抱えています。したがって、これらのサーバーを実際に構成する必要がある場合は、電子メールによるパスワードオプションがかなりあります。
アプリケーションや開発段階(例えば、開発者、テスト/ステージング、プロダクション)ごとに異なるSSHキーを使用する傾向がありますが、その組み合わせの中のすべてが同じ公開キーを取得して管理しやすくなります。そのように分離すると、1つの鍵が侵害された場合、どこでも公開鍵を置き換える必要がないため、このイベントの爆発半径を最小限に抑えることができます。また、特にいくつかの環境が他の環境より速く動く可能性があるため、それらを独立して回転できることを意味します。
最終的な警告として、プライベートSSH鍵を残りのコードと同じgit repoに入れないでください。プライベートSSH鍵を公開リポジトリに公開しないでください。大規模なチームにいる場合や、少なくとも複数の人が使用する必要がある場合には、これらの共有秘密鍵を帯域外に配布する場合は、HashicorpのVaultなどの秘密管理を調べることをお勧めします。