目前是通过 kustomize + helm template values-{env} 实现的 CD ,我最开始想的是,直接将敏感信息写入 helm values 里,解密还是在集群解密,但这样似乎违反了后渲染的原则。 现在敏感信息使用 sealed-secret 加密,但是我总是需要查看 helm chart 中具体 template 代码实现,再去拆解出具体要引用的 Secret 资源,有没有简单的办法去拆解呢?比如 helm values 中有一个 admin.password 敏感信息,我需要查看 template 内部实现,构建出类似下面这种 Secret 。
# Source: argo-cd/templates/argocd-configs/argocd-secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: argocd-secret
namespace: argocd
type: Opaque
data:
admin.password: 'xxx'
admin.passwordMtime: 'xxx'
但是,helm chart 中通常会动态注入标签、注解,单独去查看标签、注解的实现逻辑去进行构建感觉似乎更麻烦了,如果直接去掉标签、注解,完全自己生成 secret ,似乎又依赖 chart 本身的质量(担心有依赖关系),各位有没有好的方案。
1
ri0day 46 天前 via iPhone
sops
|