我们的 puppet 代码位于 github 上,因此我们将其拉到 puppet master。
但是我们的 github 存储库是私有的。标准(最佳)做法是将 puppet master ssh 密钥提供给 github 而不提供密码(github 称之为部署密钥)吗?我可以/应该做得更好吗?
答案1
通过与同事的交谈,答案似乎有两点:
- Github 部署密钥通常是首选。此外,如果需要,还可以提供只读访问权限。它们还限制对单个存储库的访问。
- 是的,私钥必须放在我的主机上,因为 github 必须有公钥。在某种程度上,我们必须信任我们自己的主机的安全性(尽管信任应该经过计算、控制、持续审查,并在入侵时加以限制)。