问题描述
在 GitOps 设置中,通常有两个存储库 - 代码存储库和环境存储库。我的理解是,分离存储库有一些安全优势,因此开发人员只需要获得代码存储库的访问权限,并且环境存储库的写入访问权限可以仅限于 CI/CD 工具。由于环境存储库是 GitOps 中的真实来源,因此据称它更安全,因为它最大限度地减少了人员参与过程。
我的问题是:
-
如果上述假设是正确的,应该授予哪些 CI/CD 工具访问环境存储库的权限?是只是Tekton(CI)和Flux(CD)等管道工具,还是管道调用的其他工具也可以包含在这个“信任圈”中?在 GitOps 中保护环境存储库的最佳实践是什么?
-
将集群的中间/动态状态同步回环境存储库的思考过程是什么,例如,由 HPA 控制的部署中的副本数量,由服务网格提供商控制的网络路由(例如,Istio)等?据我所知,大多数 CD 管道只是从环境存储库到集群进行单向同步,而不是相反。但是保留一些中间状态可能会有好处,例如,如果需要从环境存储库中重新创建其他集群。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)