RancherOS - использование секретов для сокрытия конфиденциальных данных в cloud-init

Я настраиваю персональный dev-сервер с помощью RancherOS, и я хотел бы сохранить мой файл облачного инициализации в репозитории, например, github, bitbucke t, локальный сервер и т. Д. Само по себе это требование не сложно выполнить. Однако есть образы докеров, которые принимают конфиденциальные параметры / переменные, такие как пароли, и в идеале я бы не хотел, чтобы они были включены в файл.

Например, OpenLDAP позволяет LDAP_DOMAIN & LDAP_ADMIN_PASSWORD быть настроенным:

openldap:
    image: osixia/openldap:1.2.4
    name: openldap
    restart: unless-stopped
    ports:
        - 389:389
        - 636:636
    volumes:
        - ldap_data:/var/lib/ldap
        - ldap_conf:/etc/ldap/slapd.d
    environment:
        LDAP_ORGANISATION: myorganization
        LDAP_DOMAIN: my.domain
        LDAP_ADMIN_PASSWORD: myextrasafepassword

Исходя из вышеизложенного, мне нужен механизм, который позволил бы мне определять некоторые переменные в системе через другой файл или что-то еще, на что я могу просто ссылаться при определении контейнера (аналогично параметрам ядра iPXE):

    environment:
        LDAP_ORGANISATION: ${ldap.organization}
        LDAP_DOMAIN: ${ldap.domain}
        LDAP_ADMIN_PASSWORD: ${ldap.admin.pwd}

Есть ли способ достичь этого?