dotenvを使用することで、開発用.envファイルを無視してgitリポジトリにプッシュすることができます。これはThe Twelve-Factor App config factorに準拠しています。これにより、設定が他の人、特にオープンソースプロジェクトにさらされることを防ぎます。dotenvを使用する安全なnodejsプロダクション環境
しかし、クラウド展開を使用するか、ドッカーを使用して、本番環境に展開するときに悩んでいます。
このファイルを含めるにはどうすればよいですか?ファイルをVaultなどに保存する必要がありますか?
デプロイ環境をどのように保護することができるか理解してください。
あなたはしていません。サーバー環境(ドッカーまたはそれ以外)は、開発環境ではなく独自の環境変数で構成する必要があります。変数が設定されていなくても、それらの値が同じになるように、アプリケーションのデフォルト値として設定されます。
filezillaやcyberduckなどのファイル転送プロトコルを使用して、プロダクションサーバー環境にファイルを転送できます。サーバーに送信する.envファイルに、運用データベース用の資格情報が含まれていて、開発データベース用の資格情報などが含まれていないことを確認してください。代わりに、リモートサーバの.envまたは.bashrcファイルに環境変数を追加することもできますが、これはおそらく.envファイルに比べてお勧めできません。リモートサーバー(ドッカー、heroku、awsなど)にアクセスできるユーザーがいない限り、資格情報は安全でなければなりません。 .pemファイルを決して共有しないでください。