Google App Engine上的私有npm/git依赖关系

Question

我正在使用Google App Engine的新自定义运行时开发一些应用程序，并且需求已经上升为提取作为依赖关系的代码。这些依赖项可以从私有npm存储库或私有git存储库添加。

如何将GAE项目设置为使用此类私有存储库，而无需将敏感细节存入存储库本身？ （Git和/或npm无所谓;宁愿git）

Answer 1

传统的做法是在服务器上有一个带有creds的文件。当您的应用程序需要这些信用卡时，它会读取该文件并通过（假设）安全通道将它们发送给需要检查它们的人。如果你在纯粹的计算引擎上运行，拥有一个永久磁盘不是问题，但是你必须管理和旋转实例来自我平衡负载。

对传统的永久磁盘硬件连接到运行仅仅特定类持久性数据存储的思考，你可能会看到我要去哪里：访问您的GCS桶/数据存储/云SQL（所有其中一种持久性数据存储）通过在您的项目的服务帐户中使用OAuth或最后一种情况下Cloud SQL unix套接字的数据中心级安全性进行保护，从而确保除您以外的任何人都无法访问这些信誉同时被存储。

比较：在传统的例子中，包含信用卡的磁盘文件被保护的事实是没有其他计算机可以在没有操作系统的明确许可的情况下访问磁盘，这必须被故意配置为接受这样的连接（然后你会实施某种授权/认证方案来确保这个连接的安全性）。

OAuth2.0广泛用于谷歌云平台，它可以确保与实例的持久存储（无论您选择哪个）可以进行相同的连接，同时还提供强大的授权/认证方案。对于Cloud SQL，身份验证系统可以像您的用户名一样简单，并通过安全通道传递。这个问题仅仅是将您的机器的信用转移到运行时可以访问的地方。

所以，你可以：

• Use the the gsutil tool把对象包含vim的信任状，因此，它属于专门为您的应用程序的服务帐户设置此对象的ACL

• Use the remote API把一个数据存储实体包含信誉

• Connect to your Cloud SQL instance through a locally-running client并插入数据。 （注意这个选项，你没有使用本地客户端的OAuth，但是hopefully a secure tunnel以及数据库用户名和密码的认证因素。当托管虚拟机想要访问实例时，它发生在谷歌的网络中，所以你可以确保该连接的安全）。

...并且在这一点you can access the creds, wherever they're stored, from your managed VM。