Cloud Fortgeschritten
Sealed Secrets — Secrets in Git¶
Sealed SecretsSecurityGitOps 3 min Lesezeit
Verschlüsselte Secrets für GitOps. Sichere Speicherung von Secrets in Git-Repositories.
Das Problem¶
Kubernetes Secrets sind base64-kodiert (nicht verschlüsselt). Sie können nicht in Git committet werden. Sealed Secrets lösen dieses Problem.
Workflow¶
# Secret erstellen
kubectl create secret generic db-creds \
--from-literal=password=s3cret --dry-run=client -o yaml > secret.yaml
# Verschlüsseln
kubeseal --format=yaml < secret.yaml > sealed-secret.yaml
# sealed-secret.yaml in Git committen
# Nur der Cluster mit dem privaten Schlüssel kann entschlüsseln
Alternativen¶
- Sealed Secrets — Open Source, Bitnami
- SOPS — Mozilla, verschlüsselt Werte in YAML
- External Secrets Operator — synchronisiert aus Vault, AWS SM, Azure KV
Zusammenfassung¶
Sealed Secrets oder External Secrets Operator = Secrets in GitOps. Committen Sie niemals Klartext-Secrets.
Brauchen Sie Hilfe bei der Implementierung?¶
Unser Team hat Erfahrung mit dem Entwurf und der Implementierung moderner Architekturen. Wir helfen Ihnen gerne.