← Zurück

Vault + External Secrets Operator

HashiCorp VaultExternal Secrets OperatorKubernetes

Secrets werden automatisch aus Vault in Kubernetes bereitgestellt. Kein Klartext-Secret in Git.

Problem

Secrets waren in Helm-Values und ConfigMaps hardcodiert. Kein Rotationsmechanismus, kein Audit-Trail, keine Zugriffskontrolle.

Lösung

Vault mit KV v2 deployed, Kubernetes-Auth-Methode konfiguriert, External Secrets Operator installiert sowie SecretStore- und ExternalSecret-CRDs pro Namespace definiert.

Ergebnis

Keine Klartext-Secrets in Git oder ConfigMaps. Automatische Synchronisation. Zugriff über Vault-Policies kontrolliert.

Umsetzung

  • HashiCorp Vault mit KV v2 Secrets Engine deployed
  • Kubernetes-Auth-Methode für Pod-basierte Identität
  • Vault-Policies pro Anwendung definiert
  • SecretStore + ExternalSecret CRDs pro Namespace
  • Secrets werden als native Kubernetes Secrets materialisiert