我的组织正在使用 Openshift 运行多个应用程序。到目前为止,我们的政策是始终将敏感值(数据库密码、API 密钥等)存储在环境变量中,而不是作为代码库的一部分。但是,多个项目分别具有 Dev、QA 和 Prod 实例,这导致需要管理大量环境变量。
为了解决这个问题,我编写了一些工具,以便我们能够跟踪 YAML 文件中的变量,然后以声明方式将它们应用于 Openshift deploy-config。到目前为止,这些 YAML 文件都位于我工作站上的本地 git 存储库中。然而,这有明显的缺点,即开发团队中的其他人无法使用它。然而,像处理我们所有其他 git 存储库一样处理它并将其推送到 Gitlab 或 Github 似乎风险太大。
也许我们可以编写 git hooks 来在提交之前自动使用 GPG 加密文件,并在提取之后解密?在团队之间存储和共享此类敏感存储库的最佳实践方法是什么?