дд, вопрос наверно уже изъезженный, но задам: разработчики жили-были долгое время на стеке nginx + php-fpm, запущенные на хостовой машине. С некоторого периода они начали смотреть на RoudRunner. Хотят его запускать в докере. Сейчас разработчики работают под непривилегированными пользователями. В случае работы с контейнерами - их надо добавлять в группу docker - а это по сути доступ ко всей хостовой машине. Как вообще поступить? Пока идет речь только о деве, на проде тоже планируется, то там думаю сможем обойтись CI

дд, вопрос наверно уже изъезженный, но задам: разработчики жили-были долгое время на стеке nginx + php-fpm, запущенные на хостовой машине. С некоторого периода они начали смотреть на RoudRunner. Хотят его запускать в докере. Сейчас разработчики работают под непривилегированными пользователями. В случае работы с контейнерами - их надо добавлять в группу docker - а это по сути доступ ко всей хостовой машине. Как вообще поступить? Пока идет речь только о деве, на проде тоже планируется, то там думаю сможем обойтись CI

Поднять k8s, заводить k8s users и выдавать права только на неймспейс, например

Поднять k8s, заводить k8s users и выдавать права только на неймспейс, например

kubernetes is the answer. What was your question?

Как думаете правильно ли делать IaC для секретов в vault, держать их в шифрованном виде в репозитори и создавать/удалять/обновлять в vault через terraform, ansible, puppet и т.д.?

мы так и сделали.
второй вариант - бекапить волт и хранить ключи от него в сейфах - нам не понравился
хотя тут всё зависит от воркфлоу. для нашего сценария это более интересный вариант

Пока git-crypt. Подумываем о переходе на чистый openssl. А то гит-крипт бинарники делает, что не есть хорошо для гита

Пока ничего не придумали. Баш-скрипт локально. В планах прикрутить к дженкинсу.

а чем менеджите секреты? Для шифрования git crypt  или свои скрипты на openssl?

а есть getting started для git crypt ?