google云应用引擎上nodejs应用的秘密管理

Question

今天我和一个朋友聊了聊他的创业公司正在做的一个项目。它是一个nodejs应用程序，其mongodb后端托管在Google Cloud App Engine上。令我恐惧的是，我看到他在他的git库中存储了一些秘密，比如API密钥和数据库密钥。

我来自Azure和.NET的背景，所以我习惯于使用Azure Key Vault，不知道在GAE中使用它的首选方法是什么。我试着阅读文档，但有很多选择，似乎没有一个能完全反映我在Azure中习惯的东西。

我想帮助我的朋友。

所以谁能给我指点一下我应该阅读什么产品。是Hashicorp Vault，Google Cloud HMS还是Berglas？我的需求是，保管库需要能够存储加密的秘密，并且nodejs应用程序不需要担心向保管库进行身份验证。保管库应该只允许服务帐户读取机密。

如果保险库也能适应Terraform设置，我们可以提供所有资源，并且在供应时还可以生成所需的秘密，然后将它们放入保险库，而没有任何人注意到这些秘密，那就太棒了！这样，我们还可以创建一个设置，在这个设置中，他将能够基于功能分支配置一个完整的一次性环境。但这只是一个很好的拥有。

Answer 1

基于你也想使用Terraform的事实，我建议使用HashiCorp。有一个来自谷歌的关于这两个组合的blog post。一般来说，您在问题中提到的所有这些解决方案都是可行的，并且您可以找到更多here。