Tengo un servidor pypi interno que ejecuto localmente y solo es accesible desde la red interna [enlazado a la interfaz localhost].
Recientemente implementé un paquete en este repositorio interno privado, pero incluí mis certificados [clave pública y privada] como datos del paquete.
En primer lugar, ¿es seguro?
¿Y cuáles son las mejores formas de administrar tales credenciales?
NOTA:
Estoy ejecutando una arquitectura de microservicio y varias instancias de matraz necesitan este paquete para funcionar, ya que contiene código reutilizable para todas las instancias del servidor.
Creo que incluirlo en el paquete me permitiría centralizar mejor su funcionamiento y actualizarlo libremente si está comprometido o no.
En lo que respecta a mejores maneras de administrarlo, sé que podríamos instalar los certificados en nuestro clúster de kubernetes como secretos que resolverían esto de una mejor manera en mi opinión, solo pensé que agregaría esto para obtener más información sobre cómo La arquitectura actual está organizada.
Este es un ejemplo de la estructura del mismo modo, también se está ejecutando en grpc.
(web-s40vS2xm) ➜ proto git:(grpc-dev) ✗ tree
.
├── cert
│ ├── README.md
│ ├── server.crt
│ └── server.key
├── Comment_pb2_grpc.py
├── Comment_pb2.py
├── helpers
│ └── __init__.py
├── Helpers_pb2_grpc.py
├── Helpers_pb2.py
├── __init__.py
├── __pycache__
├── User_pb2_grpc.py
└── User_pb2.py