如此处所述https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc_verify-thumbprint.html AWS OIDC 提供商要求您使用指纹将来自 OIDC 终端节点的 HTTPS 证书列入白名单。
我面临的问题是,只要身份提供商合法轮换其证书,我的 AWS OIDC 提供商就会停止工作。这种情况发生得比较频繁。
因此,这些文档中解释的缓解措施是对 CA 证书而不是最终 HTTPS 证书进行指纹识别。然而,据我了解,当 CA 轮换其操作中间证书时,对 CA 的中间签名证书进行指纹识别仍然可能会破坏我的 AWS OIDC 提供商。这种情况每隔几年就会发生一次。
然后,如果身份提供者更改了他们选择的 CA,对根或中间 CA 证书进行指纹识别仍然可能会破坏问题。这随时可能发生。
AWS 允许使用多个指纹,正是为了处理证书轮换。但是,在部署第三方未来证书并破坏我的 AWS OIDC 集成之前,我应该如何对它们进行指纹识别呢?
对此的规范解决方案是什么?
在文档中有一个注释说
AWS 通过我们的受信任证书颁发机构 (CA) 库来保护与某些 OIDC 身份提供商 (IdP) 的通信,而不是使用证书指纹来验证您的 IdP 服务器证书。这些 OIDC IdP 包括 Google 以及使用 Amazon S3 存储桶托管 JSON Web 密钥集 (JWKS) 终端节点的 IdP。在这些情况下,您的旧指纹仍保留在您的配置中,但不再用于验证。
外部 OIDC 提供程序有效地为标准.well-known/openid-configuration端点中链接的 JWKS 端点提供服务,因此理想情况下我想使用它。然而,AWS 完全忽略了这一点,因为……第三方 JWKS 端点未托管在 AWS S3 中?我该怎么办呢?
已知无法解决的问题:
更新 …
我在私有服务器 serverB 上有一个存储库 repoB,并从中获取部署令牌(用户+密码)。
\n此存储库用作我尝试配置的项目中的子模块。
在这个项目中,我希望能够在 Gitlab-CI 期间初始化这个子模块。
\n我的.gitmodules是:
[submodule "repoB"]\n path = repoB\n url = https://serverB/groupB/repoB.git\n我的.gitlab-ci.yml:
test_build:\n variables:\n GIT_SUBMODULE_STRATEGY: recursive\n实际上,我得到的错误如下(group:\xc2\xa0 japan7、project: nanachan、repoB: karaneko、serverB git.inpt.fr:)
Updating/initializing submodules recursively...\nSynchronizing submodule url for \'karaneko\'\nCloning into \'/builds/japan7/nanachan/karaneko\'...\nfatal: could not read Username for \'https://git.inpt.fr\': No such device or address\nfatal: clone of \'https://git.inpt.fr/japan7/karaneko.git\' into submodule path \'/builds/japan7/nanachan/karenko\' failed\nFailed to clone \'karaneko\'. Retry scheduled\nCloning into \'/builds/japan7/nanachan/karaneko\'...\nfatal: could not read …我们的 React 应用程序配置为使用 CRA 脚本和 Bitbucket Pipelines 进行构建和部署。
我们的大多数构建都因运行而失败,yarn build并出现以下错误:
error Command failed with exit code 137.
这是内存不足错误。
我们尝试将 GENERATE_SOURCEMAP=false 设置为部署环境变量,但这并没有解决问题https://create-react-app.dev/docs/advanced-configuration/。
我们还尝试通过运行以下命令来设置步骤的最大可用内存:
node --max-old-space-size=8192 scripts/build.js
增加到最大内存并不能解决问题。
这阻碍了我们的发展,我们不知道如何解决这个问题。
我们可以转向新的 CI/CD 服务,但这比预期的工作量要多得多。
还有其他解决方案可以解决这个问题吗?
下面是bitbucket-pipelines.yml文件
error Command failed with exit code 137.
我正在尝试为我的 Angular 应用程序运行管道,但当涉及到“npm run build”部分时,它崩溃了,失败原因是“容器“Build”超出了内存限制。” 我尝试修改 yml 文件中的内存设置,例如添加“size 2x”并更改分配给 docker 的内存量。
位桶管道.yml:
image: node:14.17.0
options:
docker: true
size: 2x
pipelines:
custom:
prod-deployment:
- step:
name: Build angular app
caches:
- node
services:
- docker
size: 2x # Double resources available for this step.
script:
- mv .npmrc_config .npmrc
- npm install --unsafe-perm
- npm install -g @angular/cli@12.2.6
- free -m
- npm run dashboard:build
- wget "censored for security"
artifacts:
- dist/**
- step:
name: Deploy artifacts using SCP to …传统上,我一直在发行
pip install docker-compose
我的管道脚本中有关需要它的步骤的说明,通常用于集成测试。
这很方便,因为它可以完美地与 Bitbucket 的 docker 服务提供的 docker 二进制文件一起运行,并且受益于 pip 缓存,因为我已经在这些步骤中使用了 python 图像。但我宁愿使用最新的软件,所以我正在寻找安装 docker-compose V2 的机制。
理想情况下,解决方案应该
有人解决这个问题吗?你的经验是什么?