存放配置文件的 git repo 在开发环境、同步一份到 prod 。
staging 和 prod 用 argocd 连到不同的 git repo 上读取配置。
按照安全标准开发环境是不允许有生产环境的 credentials ,除非进行了加密。

但是众所周知 k8s 默认的 secret 只是 base64 编码,不是加密。
1. 不写的话服务缺少依赖跑不起来,得分别去几个不同的集群手动添加 secret 。
2. 如果上 vault 这种又有点重,引入了新的组件和维护成本。
有啥最佳实践么?
最新回复 (1)
  • momo27894月前
    引用2
    我在用 Helm Secrets ,生产测试 secrets 存在 GCP Secret Manager
  • 回复请 登录 or 快速注册
返回