Kubernetes-Secrets verschlüsselt in Git speichern mit Sealed Secrets

Mit dem Werkzeug Sealed Secrets kann man Kubernetes-Secrets verschlüsselt in Git-Repositories ablegen, ohne seine Geheimnisse allen zugänglich zu machen.

Artikel verschenken

(Bild: KI Midjourney | Bearbeitung: c’t)

07.09.2023, 15:30 Uhr

Lesezeit: 10 Min.

c't Magazin

Von

Manuel Ottlik

Kubernetes-Secrets verschlüsselt in Git speichern mit Sealed Secrets
- Ablauf
Installieren und ausprobieren
Scopes und Secrets
Fazit

Artikel in c't 22/2023 lesen

Es gibt viele gute Gründe, die YAML-Definitionen für Kubernetes-Ressourcen nicht auf den Rechnern von Admins herumliegen zu lassen und per Hand mit dem Befehl kubectl apply in ein oder mehrere Cluster zu transportieren. Über kurz oder lang kommt es zu Abweichungen zwischen dem Inhalt der lokalen YAML-Dateien und den Clustern. Stattdessen spricht viel dafür, die Definitionen mit einem Paketmanager wie Helm zu verpacken und einem Continuous-Deployment-Werkzeug wie Argo CD die Aufgabe zu überlassen, diese Pakete im Cluster aktuell zu halten. Den sogenannten GitOps-Ansatz haben wir bereits ausführlich beschrieben.

Alle Kubernetes-Objekte, die in Ihrem Cluster laufen sollen, liegen bei dieser Strategie in Git-Repositories und Änderungen können Sie und Ihre Kollegen elegant nachvollziehen. Alle Objekte? Nein, ein Typ bleibt außen vor: Kubernetes-Secrets sollten Sie definitiv nicht als YAML in ein Git-Repository legen, weil sie sonst nicht mehr wirklich geheim wären. Zu solchen Secrets gehören API-Schlüssel für externe Anwendungen, Datenbankkennwörter oder Admin-Zugangsdaten.

Um Geheimnisse auf sichere Weise in den Cluster zu bekommen, ohne die eigene GitOps-Strategie zu unterwandern, gibt es im Kern zwei Möglichkeiten: einen Kubernetes-Geheimnisspeicher, der in den meisten Fällen außerhalb des Clusters an zentraler Stelle steht, oder das kleine Open-Source-Projekt Sealed Secrets aus dem Hause Bitnami. Die VMware-Tochter hat sich darauf spezialisiert, Softwareinstallationen in der Cloud zu vereinfachen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Mini-PC-Barebone für AMD Ryzen 7000/8000G im Test

Der DeskMini X600 erlaubt es, einen kompakten Rechner mit aktuellen AM5-Prozessoren zu bauen. Weil Asrock den Chipsatz weglässt, sinkt der Energiebedarf enorm.

IT-Gehälter 2024: Das verdienen Security-Experten in Deutschland

IT-Security-Experten sichern Firmen vor Angriffen, entsprechend hoch ist ihre Verantwortung. Dafür zahlen Firmen hohe Gehälter.

Freiberufler: Was 2024 wichtig ist

UpdateLadetarife für Elektroautos im Vergleich

Die Preise an Ladesäulen unterscheiden sich enorm. Wer mit Gleichstrom lädt, zahlt unter Umständen 40 Cent/kWh mehr. Einige Fußnoten sollten Sie deshalb kennen.

3D-Druck: Payment-Ring im Eigenbau

Mit NFC-Chips, die in Uhren eingebettet sind, bezahlt man im Vorbeigehen. Wer solche Bezahl-Gegenstände baut, kann sie frei nach eigenen Wünschen gestalten.

Air,Conditioning,Technician,And,A,Part,Of,Preparing,To,Install

Wandel bei Wärmepumpen: Neue Kältemittel, ohne Kompressor und mit KI

Die Wärmepumpe ist die Heiztechnik der Zukunft. Ihre technische Entwicklung ist allerdings weiterhin nicht ausgereizt – insbesondere in Hinblick auf Effizienz.

Bass und Bühne: Der offene Kopfhörer Grell Audio OAE1 im Test

Offene Kopfhörer klingen meist räumlicher als geschlossene Modelle, dafür geht ihnen im Bassbereich schneller die Puste aus. Der OAE1 kann beides.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

UpdateLadetarife für Elektroautos im Vergleich

Die Preise an Ladesäulen unterscheiden sich enorm. Wer mit Gleichstrom lädt, zahlt unter Umständen 40 Cent/kWh mehr. Einige Fußnoten sollten Sie deshalb kennen.

Smart,Device,Virtual,Control,Interface.,Artificial,Intelligence,New,Application,Ai

Trend-Beruf: Mit diesen Fähigkeiten wird man KI-Experte

KI-Experte ist aktuell ein gefragter Beruf, mit dem sich viel Geld verdienen lässt. Aber welche Skills sind relevant und welche Fortbildungen lohnen sich?

Marktübersicht: Apps zur Photovoltaik-Überwachung

Apps und Energiemanager für Wechselrichter und Solarbatterien helfen bei der optimalen Nutzung von Solarmodulen, diese Apps fallen aber unterschiedlich aus.

PyTorch: Eigene Bildgenerierungs-KI mit Python bauen

Künstliche Intelligenz muss nicht kompliziert sein. Mit der PyTorch-Bibliothek bauen Sie Ihren eigenen KI-Bildgenerator in Python. Wir erklären, wie das geht.

Die Momentaufnahme zeigt die Dynamik beim 100-Meter-Hürdenlauf der Frauen bei der Europameisterschaft in Berlin 2018., Alle Bilder: Reuters / Kai Pfaffenbach

Am Puls der Zeit: Dem Profi-Fotojournalisten über die Schulter geschaut

Reuters-Fotograf Kai Pfaffenbach fängt die "Breaking News" ein wie kein anderer. Im Interview verrät er, was ihm in seinen Bildern wichtig ist und gibt Tipps.

Linux-Umstieg: Mit Linux Mint Cinnamon wie gewohnt weiterarbeiten

Linux oder Windows – egal, Hauptsache das System erlaubt es, in Ruhe zu arbeiten? Linux Mint Cinnamon setzt auf bewährte Konzepte. Dinge funktionieren einfach.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Kubernetes-Secrets verschlüsselt in Git speichern mit Sealed Secrets

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Mini-PC-Barebone für AMD Ryzen 7000/8000G im Test

IT-Gehälter 2024: Das verdienen Security-Experten in Deutschland

UpdateLadetarife für Elektroautos im Vergleich

3D-Druck: Payment-Ring im Eigenbau

Wandel bei Wärmepumpen: Neue Kältemittel, ohne Kompressor und mit KI

Bass und Bühne: Der offene Kopfhörer Grell Audio OAE1 im Test

Immer mehr Wissen. Das digitale Abo für IT und Technik.

UpdateLadetarife für Elektroautos im Vergleich

Trend-Beruf: Mit diesen Fähigkeiten wird man KI-Experte

Marktübersicht: Apps zur Photovoltaik-Überwachung

PyTorch: Eigene Bildgenerierungs-KI mit Python bauen

Am Puls der Zeit: Dem Profi-Fotojournalisten über die Schulter geschaut

Linux-Umstieg: Mit Linux Mint Cinnamon wie gewohnt weiterarbeiten

Spiele

1 Jahr nur 1,90 € pro Woche

Das digitale Abo für IT und Technik.