存放配置文件的 git repo 在开发环境、同步一份到 prod 。
staging 和 prod 用 argocd 连到不同的 git repo 上读取配置。
按照安全标准开发环境是不允许有生产环境的 credentials ,除非进行了加密。
但是众所周知 k8s 默认的 secret 只是 base64 编码,不是加密。
1. 不写的话服务缺少依赖跑不起来,得分别去几个不同的集群手动添加 secret 。
2. 如果上 vault 这种又有点重,引入了新的组件和维护成本。
有啥最佳实践么?