Cloud Pokročilý
Sealed Secrets — secrets v Gitu¶
Sealed SecretsSecurityGitOps 3 min čtení
Šifrované secrets pro GitOps. Bezpečné ukládání secrets v Git repozitáři.
Problém¶
Kubernetes Secrets jsou base64 encoded (ne šifrované). Nelze commitnout do Gitu. Sealed Secrets je řeší.
Workflow¶
# Vytvoř secret
kubectl create secret generic db-creds \
--from-literal=password=s3cret --dry-run=client -o yaml > secret.yaml
# Zašifruj
kubeseal --format=yaml < secret.yaml > sealed-secret.yaml
# Commitni sealed-secret.yaml do Gitu
# Jen cluster s privátním klíčem může dešifrovat
Alternativy¶
- Sealed Secrets — open-source, Bitnami
- SOPS — Mozilla, šifruje values v YAML
- External Secrets Operator — sync z Vault, AWS SM, Azure KV
Shrnutí¶
Sealed Secrets nebo External Secrets Operator = secrets v GitOps. Nikdy necommitujte plaintext secrets.
Potřebujete pomoct s implementací?¶
Náš tým má zkušenosti s návrhem a implementací moderních architektur. Rádi vám pomůžeme.