将无服务器应用程序部署到 AWS Lambda
使用加密的 .env.vault 文件将无服务器应用程序部署到 AWS Lambda。
在本指南中找到完整的 GitHub 代码示例。
初始设置
创建一个 无服务器 项目。
npx serverless
以下是我在本指南中选择的选项。根据您的需求修改它们。
? What do you want to make? AWS - Node.js - Starter
? What do you want to call this project? aws-lambda
? What org do you want to add this service to? dotenv
? What application do you want to add this to? [create a new app]
? What do you want to name this application? aws-lambda
✔ Your project is ready to be deployed to Serverless Dashboard (org: "dotenv", app: "aws-lambda")
? Do you want to deploy now? Yes
Deploying aws-lambda to stage dev (us-east-1, "default" provider)
编辑 index.js 以包含 process.env.HELLO。
index.js
module.exports.handler = async (event) => {
return {
statusCode: 200,
body: JSON.stringify(
{
message: `Hello ${process.env.HELLO}`,
input: event,
},
null,
2
),
};
};
将它部署到云中。
npx serverless deploy
调用您的函数。
请求
npx serverless invoke --function function1
响应
{
"statusCode": 200,
"body": "{\n \"message\": \"Hello undefined\",\n \"input\": {}\n}"
}
它将响应 Hello undefined,因为它还没有访问环境变量的方法。接下来我们将解决这个问题。
安装 dotenv
安装 dotenv。
npm install dotenv --save # Requires dotenv >= 16.1.0
在项目的根目录中创建一个 .env 文件。
.env
# .env
HELLO="World"
尽早地在您的函数中导入并配置 dotenv。
index.js
require('dotenv').config()
console.log(process.env) // remove this after you've confirmed it is working
module.exports.handler = async (event) => {
...
通过在本地调用您的函数来测试它是否正常工作。
npx serverless invoke local --function function1
它应该显示 Hello World。
{
"statusCode": 200,
"body": "{\n \"message\": \"Hello World\",\n \"input\": {}\n}"
}
太好了!process.env 现在拥有您在 .env 文件中定义的键和值。这涵盖了本地开发。接下来我们来解决生产环境的问题。
构建 .env.vault
推送您最新的 .env 文件更改并编辑您的生产机密。 了解有关同步的更多信息
npx dotenv-vault@latest push
npx dotenv-vault@latest open production
使用 UI 为每个环境配置这些机密。
然后构建您的加密 .env.vault 文件。
npx dotenv-vault@latest build
它的内容应该类似于以下内容。
.env.vault
#/-------------------.env.vault---------------------/
#/ cloud-agnostic vaulting standard /
#/ [how it works](https://dotenv.org/env-vault) /
#/--------------------------------------------------/
# development
DOTENV_VAULT_DEVELOPMENT="/HqNgQWsf6Oh6XB9pI/CGkdgCe6d4/vWZHgP50RRoDTzkzPQk/xOaQs="
DOTENV_VAULT_DEVELOPMENT_VERSION=2
# production
DOTENV_VAULT_PRODUCTION="x26PuIKQ/xZ5eKrYomKngM+dO/9v1vxhwslE/zjHdg3l+H6q6PheB5GVDVIbZg=="
DOTENV_VAULT_PRODUCTION_VERSION=2
设置 DOTENV_KEY
获取您的生产 DOTENV_KEY。
npx dotenv-vault@latest keys production
# outputs: dotenv://:[email protected]/vault/.env.vault?environment=production
编辑您的 serverless.yml 文件以将 DOTENV_KEY 作为参数注入。
serverless.yml
...
provider:
name: aws
runtime: nodejs18.x
environment:
DOTENV_KEY: ${param:DOTENV_KEY}
...
重要,此外,编辑您的 serverless.yml 文件以忽略您的 .env* 文件,除了您的 .env.vault 文件。
serverless.yml
...
package:
patterns:
- '!.env*'
- '.env.vault'
完成后,您的 serverless.yml 文件应该类似于以下内容。
serverless.yml
org: dotenv
app: aws-lambda
service: aws-lambda
frameworkVersion: '3'
provider:
name: aws
runtime: nodejs18.x
environment:
DOTENV_KEY: ${param:DOTENV_KEY}
functions:
function1:
handler: index.handler
package:
patterns:
- '!.env*'
- '.env.vault'
使用您上面获取的 DOTENV_KEY,将其作为参数设置在 Serverless 仪表板上。
再次部署到云中。
npx serverless deploy
现在调用您的函数。
请求
npx serverless invoke --function function1
就是这样!在调用时,您的 .env.vault 文件将被解密,其生产机密将作为环境变量注入,这是按需进行的。
响应
{
"statusCode": 200,
"body": "{\n \"message\": \"Hello production\",\n \"input\": {}\n}"
}
您成功使用新的 .env.vault 标准来加密和部署您的机密。这比将您的机密散布在多个第三方平台和工具中要安全得多。每当您需要添加或更改机密时,只需重建您的 .env.vault 文件并重新部署即可。