GNU/Linux Help
DevOps — русскоговорящее ...
ntwrk
Kubernetes — русскоговоря...
pgsql – PostgreSQL
ClickHouse не тормозит
Docker — русскоговорящее ...
Системное администрирован...
werf (чат)
Это RabbitMQ
DevSecOps - русскоговорящ...
Да, это именно вариант с хранением их в гите. А
есть способ их из гитлаб переменных подставлять? То бишь перед werf converge, из гитлаб переменной подставить секрет для пароля бд, например?
Или это плохая практика и всё же лучше в гите хранить шиврованный secret values?
5 ответов
это не гитопс путь
Alexey
Erisov
Автор вопроса
это не гитопс путь
Да. Но когда спрашивал в девопс коммунити, многие именно за такой подход или даже вместо гитлаб енвов наворачивают волт. Ну тип, что сам подход хранить секреты в гите не одобряют. Вот и пытаюсь решить, какой лучше способ применительно к верфу
![Max-Bazuev [JS/C#]](https://image.telq.org/user_avatar_384964002_1653407799183517623_mini.jpeg){kind=avatar}
Да. Но когда спрашивал в девопс коммунити, многие ...
А что такого плохого хранить секреты в гите? Из гита намного легче делать key rotation, не нужно ни в какую апиху лезть. И если поменял все знают что ты поменял ключ, если что можно откатить через гит. А если репо паблик и страшно туда зашифрованные секреты кидать, всегда можно сабмодуль подключить с сылкой на приватный репо. Тут получается 2FA - доступ к репо и приватный ключ. А хранить в том же гитлаб или гитхаб - это вопрос когда его взломают, нам же не хочется перекладывать ответственность за сохранность секретов на строннюю систему.
Alexey
Erisov
Автор вопроса
Да. Но когда спрашивал в девопс коммунити, многие ...
Мне с werf удобно через sops, вот есть там этот werf secret key, его в secrets/werf.enc.env А при развертке делаем env $(sops -d secrets/werf.enc.env | xargs) werf ….
Похожие вопросы
Обсуждают сегодня