Security 如何通过Web部署服务保护TeamCity部署？

我的团队使用持续集成。它将通过开发人员和qa web服务器构建、测试和部署web应用程序。棘手的部分是部署到生产web服务器-我们的政策规定，开发人员不能部署到生产环境，只有系统管理员才能

我们目前的方法是让TeamCity构建一个web部署包，管理员可以下载并安装到生产web服务器上。但是，我们希望允许他们在构建配置上简单地单击“运行”，但我们不确定如何保护该按钮

我们可以创建一个只有管理员才能访问的TeamCity项目，但我们还必须解决Web部署安全问题。Web部署服务需要使用生产服务器上的本地管理员帐户进行身份验证。我们不希望开发人员能够访问构建脚本中的用户名/密码，也不希望每个构建代理都以此帐户运行，因为开发人员可以创建一个使用它部署到生产环境的构建

---

我还没有找到太多关于TeamCity安全/部署最佳实践的资源，但我无法想象我们是这种情况下唯一的公司。其他人如何管理自动部署安全性？

首先，在live server上自动部署不是一个好主意。部署应该是自动化的，直到登台。若你们还想这么做，ez，简短而安全的方法就是使用Ant脚本。编写一个简短的脚本来使用SSH或sftp，部署就完成了。您可以为您的项目创建两个配置文件，并在“构建步骤”中为管理员的Pro部署添加额外的步骤。

祝您在serverfault上好运-然后您可以从此处结束此问题。