Есть ли в природе некий генератор секретных переменных для Docker или просто для неких проектов?
Из заголовка наверняка не слишком понятно, что я имею ввиду, поэтому объясню.
Ситуация:
Есть некое количество сервисов, крутящихся на продакшене в Docker, каждый отдельно. Им нужны некие переменные окружения, на основании которых в них будет происходить некая криптография. Пускай это будет 1 переменная, назовем ее APP_SECRET. Ее можно генерировать двумя способами: вручную, периодически обновляя некий условный .env файл (или записывая ее еще куда-то, откуда потом ее сможет найти код) в каждом проекте, и автоматически, тоже в каждом проекте.
Переменная должна быть постоянной, известной в рамках только одного проекта (то есть это не некий shared secret), и повторяемой для одной и той же CI/CD сборки проекта. Ну то есть завязанной на дате обновления некоего lock файла внутри проекта, к примеру.
Вручную - понятны минусы. Явно реже будет генериться, непонятно каким образом, непонятно куда и когда и как может утечь.
Автоматически - тут понятны плюсы. Генерация может быть завязана на каждую сборку в CI/CD. Алгоритм будет известен, и если его верно подобрать, то генерируемые им значения - безопасны.
Вопрос:
Есть ли некие инструменты, как для Docker'а, так и просто для неких проектов (но только на PHP), которые способны при каждой сборке проекта (по сути, это может быть просто некий sh скрипт, запускающий что угодно) генерировать описанную выше переменную, и после записывать ее в .env, к примеру?
PS: понятно, что написать такое можно и самому, десятком разных способов, но если есть уже готовые инструменты, то я бы предпочел как минимум сначала изучить их.
Мы работаем на HashiCorp стеке (Nomad + Consul). Но внедрять Vault ради всего этого я думаю мы не будем, да и не мне решать, на что мы потратим деньги в этом вопросе. Но спасибо за ответ!