Docker & KubernetesEnv vars phù hợp cấu hình không nhạy cảm hoặc secret đã được inject từ secret manager. Không nên commit .env chứa production secrets. Với Compose, có thể dùng env_file cho local và secrets/file mount cho dữ liệu nhạy cảm.
Ví dụ Compose local:
yaml
services:
api:
image: my-api
env_file:
- .env.local
environment:
NODE_ENV: developmentProduction nên dùng secret manager của platform, rotation policy và least privilege.
Image không được chứa secret baked-in ở build time.