ExternalSecretsOperator＠Secret系

はじめに

本サイトにつきまして、以下をご認識のほど宜しくお願いいたします。

• https://hiroki-it.github.io/tech-notebook/

01. ExternalSecretsOperatorの仕組み

アーキテクチャ

ExternalSecretsOperatorは、external-secrets、external-secrets-controller、から構成される。

• https://external-secrets.io/v0.8.1/
• https://techblog.zozo.com/entry/kubernetes-external-secrets-to-external-secrets-operator

external-secrets

使用するプロバイダーを設定する。

external-secrets-controller

external-secrets-controllerは、プロバイダー (例：AWS、Google Cloud、Vault) のAPIと通信し、プロバイダーのSecretストア (例：AWS Secrets Manager、Google Cloud Secret Manager、Vault SecretsEngine) から変数を取得する。

その後、取得した変数をSecretのデータとして注入する。

Secretを作成せずにPod内コンテナにマウントするSecretsストアCSIドライバーと比較して、Kubernetesとプロバイダーがより疎結合になる。

一方で、同様にSecretのデータとして注入するhelm-secrets/vault-helmと比較して、関係するコンポーネントが増えるため脆弱性が高まる。