моя нирвана: все проекты конфигурируются тянуть bootstrap gitlab-ci.yml из  внешнего хранилища  по http, тот берет переменные окружения вроде имени проекта, ветки и проч и вызывает  центральный open policy agent (OPA) , который генерирует пайплайны. при генерации может создавать временные секреты, брать из инвентори в какие кластеры задеплоить, какие ендпоинты юзать для конкретного окружения в конкретном кластере и проч.

если надо дать разработчикам волю чуток покастомизировать что-то, то bootstrap скрипт может взять какие то куски из репозитория и отправить open policy agent, который их интегрирует куда надо.

Любители тектона и прочих CRD тоже могут быть счастливы -  OPA может подсасывать любые ресурсы через bundle api в том числе и из кубов

Самый правильный путь, когда разработчики видят все что происходит внутри самой репы и могут это менять.

ага, особенно когда надо поменять как релизим прод и единственная возможность это протестировать, очевдино, это догнать этот комит до релиза. и вот мы уже мержим десяток фиксов и гоняем все пайпланы пока не заработает как надо

а если мы разбиваем пайплайн на две части, как ты предлагаешь - мы попросту не сможем ретрайнуть пайплайн на старой версии gitlab-ci.yaml (он же генерится динамически)

ретрайнуть можно, каждый запуск сгенерированного пайплана  в хистори есть, ретрай сколько угодно

есть внешнее хранилище пайплайнов. Из них ты можешь пайплайн подцепить к себе в репу. Определенной версии. И он выполняется. В момент инстанцирования пайплайна - у тебя сам пайплайн определенным образом зашивается в метаданные и все ок

боюсь, что это не для сгенерированных пайпов, а для статически определенных

непажимаю, везде можно делать шаблонизацию. в чем вау-фактор?

вау* фактор, ифы тоже везде есть