GitLab CI/CD环境变量与密钥管理：安全配置全指南

GitLab CI/CD中的环境变量和密钥管理是安全配置的重要组成部分。本文详细介绍如何在GitLab中安全地管理敏感信息，避免密钥泄露风险。

一、环境变量基础

什么是环境变量？

环境变量是存储在流水线中的键值对，可以在Job中作为变量使用。用于配置不同环境的参数，如数据库连接、API地址等。

环境变量类型

自定义变量用户自行定义的变量，预定义变量GitLab自动提供的变量，如CI_COMMIT_SHA等，文件变量以文件形式存储的变量。

二、变量配置方法

1. UI界面配置

在项目中点击Settings，然后点击CI/CD，展开Variables选项卡，点击Add variable按钮，填写Key和Value，选择适当的选项，点击保存即可。

2. gitlab-ci.yml配置

在YAML文件中的variables关键字下定义变量。注意：这种方式定义的变量会明文显示在流水线日志中，不适合存储敏感信息。

三、密钥管理最佳实践

1. 使用CI/CD Variables

将敏感信息存储在GitLab的Variables中，而不是代码仓库。推荐做法：数据库密码、API密钥、SSH密钥、证书文件。

2. 启用Protected变量

Protected变量只能在Protected分支的流水线中使用。配置方法：在Variables设置中勾选Protected选项。适用场景：生产环境密钥、敏感配置。

3. 启用Masked变量

Masked变量在流水线日志中会显示为星号。配置方法：在Variables设置中勾选Mask variable选项。推荐：所有敏感变量都启用Mask。

4. 使用外部密钥管理

对于高安全要求的场景，可以使用外部密钥管理服务，如HashiCorp Vault、AWS Secrets Manager等。GitLab支持与这些服务集成。

四、常见配置示例

示例1：数据库连接

定义变量：DB_HOST、DB_USER、DB_PASSWORD。在流水线中使用这些变量连接数据库。

示例2：Docker镜像推送

定义变量：REGISTRY_USER、REGISTRY_PASSWORD。在流水线中使用这些变量登录镜像仓库。

示例3：部署密钥

定义文件变量：DEPLOY_KEY（SSH私钥）。在流水线中使用SSH密钥部署到服务器。

五、安全注意事项

1. 不要将密钥提交到代码仓库

切勿将敏感信息写在代码或配置文件中，即使后来删除，历史记录中仍然存在。

2. 定期轮换密钥

定期更换API密钥、数据库密码等敏感信息，建议每3-6个月更换一次。

3. 最小权限原则

为不同环境使用不同的密钥，Production密钥权限最小化，避免一个密钥泄露影响所有环境。

4. 审计日志

定期检查GitLab的审计日志，了解谁在何时访问了哪些变量。

六、常见问题

Q：变量在流水线中如何使用？
A：使用dollar符号加变量名，如dollar{DB_HOST}或dollarDB_HOST。

Q：Protected分支和Protected变量有什么区别？
A：Protected分支限制谁可以运行流水线，Protected变量限制哪些流水线可以使用变量。

Q：变量值太长怎么办？
A：可以使用文件变量类型，将长文本存储在文件中然后上传。

Q：如何在不同项目间共享变量？
A：可以使用GitLab Group的变量，或使用External URLs与外部密钥管理系统集成。

总结

GitLab CI/CD的密钥管理是安全流水线的关键。核心要点：使用CI/CD Variables存储敏感信息，启用Protected和Masked选项保护变量，遵循最小权限原则，定期轮换密钥。掌握这些，流水线安全不再是问题。

瀚煜云提供GitLab CI/CD方案及培训服务。