这将非常依赖于您管理配置的方式。就我而言，我所有的服务存储库基本上都是基础（用 kustomize 的说法）。我没有在其中包含任何秘密。

我的整个生产或测试环境是一个覆盖层，包括它需要的所有基础或覆盖层。在这种情况下，基础和覆盖是我的服务。我将机密直接包含在我的环境叠加层中。

此时您可能意识到您需要一种方法来指定您的秘密名称或您的基础或服务存储库中的某个占位符。解决方案很少：

• 您可以修补所有引用您的机密的资源，但需要做很多工作
• 您可以为您的机密定义一些命名约定，并提前知道机密名称是什么（我通常采用的方式）。

如果您使用 kustomize 秘密生成器，您几乎会被第二种解决方案所困。