Kamal 2.0 升级指南：解决 ActiveSupport::MessageEncryptor::InvalidMessage 错误

在从 Kamal 1.x 升级到 2.0 版本的过程中，许多开发者遇到了 ActiveSupport::MessageEncryptor::InvalidMessage 错误。这个问题主要与 Rails 的凭证系统和 Kamal 2.0 的新配置方式有关。本文将详细介绍问题的原因和解决方案。

问题背景

Kamal 2.0 对凭证管理进行了重大调整，特别是在处理 Rails 主密钥（master key）的方式上。当使用环境特定的凭证文件（如 config/credentials/production.yml.enc）时，系统需要正确加载对应的密钥文件才能解密凭证。

错误原因分析

ActiveSupport::MessageEncryptor::InvalidMessage 错误表明系统无法正确解密 Rails 凭证文件。这通常由以下原因导致：

1. Kamal 2.0 无法自动找到正确的密钥文件路径
2. 密钥文件未被正确加载到部署环境中
3. 环境变量配置方式与 Kamal 1.x 不同

解决方案

1. 配置正确的密钥文件路径

对于使用环境特定凭证的项目（如生产环境），需要在 .kamal/secrets 文件中明确指定密钥文件路径：

RAILS_MASTER_KEY=$(cat config/credentials/production.key)

这种方式使用命令替换来动态读取密钥文件内容，而不是直接硬编码密钥值。

2. 确保环境变量加载

Kamal 2.0 不再自动加载 .env 文件，需要在 config/deploy.yml 顶部显式添加加载代码：

<% require "dotenv"; Dotenv.load(".env") %>

# 其余配置...

3. 其他常见配置

典型的 .kamal/secrets 文件还应包含其他必要的秘密信息，例如容器注册表密码：

KAMAL_REGISTRY_PASSWORD=$KAMAL_REGISTRY_PASSWORD
RAILS_MASTER_KEY=$(cat config/credentials/production.key)

最佳实践

1. 不要将明文密钥提交到版本控制：.kamal/secrets 文件只应包含变量映射，而不是实际密钥值
2. 使用环境特定凭证：为不同环境（开发、测试、生产）维护独立的凭证文件
3. 验证配置：在部署前使用 kamal env 命令验证环境变量是否正确加载

总结

Kamal 2.0 对凭证管理进行了更严格和明确的规定，这虽然增加了初始配置的复杂性，但提高了安全性。通过正确配置 .kamal/secrets 文件和确保环境变量加载，开发者可以顺利解决 ActiveSupport::MessageEncryptor::InvalidMessage 错误，享受 Kamal 2.0 带来的改进和新特性。

对于从 Kamal 1.x 迁移的项目，特别注意密钥管理方式的改变是升级成功的关键。遵循上述建议，大多数凭证相关的问题都能得到有效解决。