Secrets v Kubernetes

01. 07. 2023 Aktualizováno: 24. 03. 2026 1 min čtení intermediate

Tento článek byl publikován v roce 2023. Některé informace mohou být zastaralé.

Kubernetes Secrets jsou base64 encoded, ne šifrované. Pro produkci potřebujete lepší řešení.

Problémy s K8s Secrets¶

Base64 != šifrování
Viditelné v etcd (pokud není encryption at rest)
Přístupné přes API každému s RBAC oprávněním

External Secrets Operator¶

apiVersion: external-secrets.io/v1beta1 kind: ExternalSecret metadata: name: app-secrets spec: refreshInterval: 1h secretStoreRef: name: vault kind: ClusterSecretStore data: - secretKey: DB_PASSWORD remoteRef: key: secret/myapp property: db_password

Sealed Secrets¶

Šifrování secretu¶

kubeseal –format yaml < secret.yaml > sealed-secret.yaml

sealed-secret.yaml je bezpečný pro Git!¶

Klíčový takeaway¶

Nikdy plain K8s Secrets v Gitu. External Secrets Operator + Vault pro produkci, Sealed Secrets pro GitOps.

securitykubernetessecretsvault

Sdílet:

CORE SYSTEMS tým

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Všechny články

Další know-how

HashiCorp Vault — secrets management, který nám chyběl

Hesla v environment proměnných, API klíče v ConfigMapách. Jak HashiCorp Vault centralizuje správu tajemství.

Kontejnerová bezpečnost — Docker a Kubernetes v produkci

Bezpečnost Docker kontejnerů a Kubernetes clusterů — base image scanning, Pod Security Policies, Network Policies,...

Kubernetes Security Best Practices 2026

Kompletní průvodce zabezpečením Kubernetes clusterů v roce 2026. Od supply chain security přes eBPF runtime ochranu...

Kubernetes Security Hardening

Bezpečný K8s cluster. RBAC, network policies, pod security, secrets.