sops-nix项目中使用相对路径配置defaultSopsFile的最佳实践

在使用sops-nix进行NixOS系统密钥管理时，配置defaultSopsFile是一个常见需求。许多用户在尝试按照文档配置时会遇到"access to absolute path is forbidden in pure evaluation mode"的错误提示，这实际上是由于Nix flakes的纯模式评估限制导致的。

问题本质

当在Nix flakes环境中工作时，Nix会启用纯模式评估(pure evaluation mode)。在这种模式下，所有文件路径引用都必须相对于项目根目录，而不能使用绝对路径。这是为了确保构建过程的可重现性，避免依赖系统环境中的任意文件路径。

正确配置方法

正确的做法是将sops.defaultSopsFile配置为项目目录中的相对路径。例如，如果你的密钥文件位于项目根目录下的secrets.yaml，应该这样配置：

sops.defaultSopsFile = ./secrets.yaml;

而不是使用绝对路径如"/nix/secrets.yaml"或"/run/secrets/..."。后者是密钥文件最终在系统中部署的位置，而不是在配置阶段引用的位置。

技术背景

Nix flakes的设计哲学强调可重现性。纯模式评估通过以下方式保证这一点：

1. 限制文件系统访问仅限于项目目录
2. 禁止网络访问
3. 固定所有输入源的版本

当尝试访问绝对路径时，违反了第一条原则，因此Nix会拒绝评估配置。

高级建议

对于更复杂的项目结构，可以考虑：

1. 将密钥文件放在专门的secrets目录中
2. 使用submodule组织配置
3. 通过flake.nix的inputs机制共享密钥配置

例如：

sops.defaultSopsFile = ./secrets/production.yaml;

这种结构化的方式既保持了可重现性，又便于管理不同环境的密钥配置。

总结

理解Nix flakes的纯模式评估限制对于正确配置sops-nix至关重要。通过使用相对路径引用密钥文件，既能满足安全需求，又能保证系统的可重现性。这是NixOS密钥管理实践中需要特别注意的一个关键点。