Secrets Management für GitOps: Wie Sie Zugangsdaten in Git aufbewahren können

Ob mit oder ohne Kubernetes: Konfigurationen an einem zentralen Ort zu speichern, hat sich bewährt. Doch wohin mit den Zugangsdaten?

Artikel verschenken

24

24.08.2023, 08:00 Uhr

Lesezeit: 17 Min.

iX Magazin

Von

Dr. Jan Bundesmann
Dr. Pascal Fries
Lukas Paluch

Secrets Management für GitOps: Wie Sie Zugangsdaten in Git aufbewahren können
- SOPS in Fleet
- Secrets-Verwaltung
Ein Vault für sichere Geheimnisse
SOPS-Operator oder Sealed Secrets
Vault und ExternalSecrets
Fazit

Artikel in iX 9/2023 lesen

Zentrale Repositorys zum Speichern der Konfigurationen haben sich etabliert und speziell im Kubernetes-Umfeld ist Git als zentrale Quelle der Wahrheit alternativlos. Jedoch haben Zugangsdaten in einer – praktisch unlöschbaren – Versionskontrolle nichts verloren. Auf zwei Wegen lässt sich das vermeiden: Entweder legt man die Zugangsdaten nur verschlüsselt im Git ab oder man externalisiert das Secrets Management. Welche Ansätze sich für welche Szenarien am besten eignen und wie man sie umsetzt, zeigen wir anhand von Beispielen.

Drei GitOps-Operatoren für Kubernetes sind heutzutage am weitesten verbreitet: Argo CD, Flux und Fleet. Zwei Ansätze funktionieren nur mit Argo CD, die anderen sind unabhängig vom eingesetzten Werkzeug. Aufgrund seiner weiten Verbreitung liegt unser Fokus auf Argo CD.

Dr. Jan Bundesmann ist Systemadministrator für Mordor, automatisiert gerne Infrastruktur und kümmert sich bei der ATIX AG um Testautomatisierung.

Dr. Pascal Fries liest gerne und gründlich Dokus und kennt alle Anwendungen rund um Kubernetes. Für die ATIX AG berät er Kunden zu Themen rund um die Cloud und Kubernetes.

Lukas Paluch berät Kunden für die tuxig GmbH und hat Green IT als Steckenpferd. Wie er gerne beweist, ist Kubernetes dafür ein geeignetes Werkzeug.

Der grundlegende Workflow ist immer gleich: Anwendungsentwickler und -betreiber pflegen ein Git-Repository mit Deployment-Ressourcen, seien es YAML-Manifeste, Helm Charts oder Kustomize-Overlays. Änderungen an der Anwendung landen als neue Commits im Repository. Der GitOps-Operator kümmert sich in der Folge darum, dass der Kubernetes-API-Server die gewünschten Ressourcen mit den Spezifikationen aus dem Repository kennt. Wie das dann konkret abläuft, hängt vom gewählten Ansatz ab. In Argo CD lassen sich Plug-ins zum Entschlüsseln on the fly definieren, oder man überlässt das Entschlüsseln dedizierten Operatoren auf dem Zielcluster, etwa Sealed Secrets oder SOPS (Secrets Operations).

Immer mehr Wissen. Das digitale Abo für IT und Technik.

BMW iX1 eDrive20 im Test: Management von Erwartungen

BMW macht mit dem Basismodell des elektrischen X1 ein attraktives Angebot, sofern der Kunde auf die klassischen Markenwerte teilweise verzichten kann.

VanMoof S5 im Test: Smartes E-Bike mit Hollandrad-Feeling

Das VanMoof S5 tritt als entspanntes E-Bike mit starkem Motor und gemütlichem Fahrgefühl an. Wir haben die überarbeitete Version des Cruisers getestet.

Fahrrad zum E-Bike aufrüsten

Sony Xperia 1 VI mit Zoomkamera im Test

In der sechsten Auflage passt Sony das Xperia 1 etwas an den Smartphone-Mainstream an. Dennoch liefert es vieles, was das Gerät vom restlichen High End abhebt.

Rückgang von THG-Prämien: Betrügereien auf Kosten von E-Auto-Besitzern

Wer abgasfrei mit dem E-Auto fährt, profitiert von CO2-Ausgleichszahlungen der Mineralölkonzerne. Die Höhe der jährlich ausgeschütteten THG-Prämie fällt jedoch.

Fritzbox 7690 im Test: AVMs schneller DSL-Router mit Wi-Fi 7

AVMs Fritzbox 7690 bietet schnelles Wi-Fi-7-WLAN und bringt das Internet per Telefonleitung ins Haus.

Gehälter 2024: Das verdienen Softwareentwickler in Deutschland

Unternehmen suchen händeringend nach Softwareentwicklern. Ihr Gehalt kann sich sehen lassen, hängt aber stark von der gewählten Spezialisierung ab.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}