俺の技術ノート

はじめに
✊🏻 俺
🌳 システム
🌳 システム
- システム
- アーキテクチャ特性
🧬 ソフトウェア
🧬 ソフトウェア
- ソフトウェア
- プラクティス集
🚀 アプリ
🚀 アプリ
- アーキテクチャ
- ■ バックエンドアーキテクチャ
  ■ バックエンドアーキテクチャ
  - ■ オブジェクト指向
    ■ オブジェクト指向
    
    オブジェクト指向
    
    オブジェクト指向分析
    
    オブジェクト指向設計
  - ドメイン駆動設計
  - クリーンアーキテクチャ
  - CQRS
- ■ フロントエンドアーキテクチャ
  ■ フロントエンドアーキテクチャ
  - フロントエンドアーキテクチャ
- ■ マイクロサービスアーキテクチャ
  ■ マイクロサービスアーキテクチャ
  - マイクロサービスアーキテクチャ
  - API Gateway領域
  - ■ マイクロサービス領域
    ■ マイクロサービス領域
    
    マイクロサービス設計
    
    マイクロサービス間通信
    
    トランザクション管理
    
    認証／認可
    
    回復性管理
  - ストレージ領域
  - ■ 横断領域
    ■ 横断領域
    
    ホワイトボックステスト
    
    ブラックボックステスト
    
    開発手法
- ■ 通信方式
  ■ 通信方式
  - リクエスト／レスポンス方式
- ■ API
  ■ API
  - ■ RESTful-API
    ■ RESTful-API
    
    RESTful-API
    
    API仕様書
  - ■ RPC-API
    ■ RPC-API
    
    gRPC
    
    ■ クライアントパッケージ
    ■ クライアントパッケージ
    
    Go
  - ■ GraphQL-API
    ■ GraphQL-API
    
    GraphQL
- ■ ワークフロー
  ■ ワークフロー
  - ■ Argo Workflows
    ■ Argo Workflows
    
    Argo Workflows
    
    リソース定義
  - ■ Temporal
    ■ Temporal
    
    Temporal
    
    ■ 設定ファイル
    ■ 設定ファイル
    
    Clusterスコープ
    
    Webスコープ
🤝🏻 ミドルウェア
🤝🏻 ミドルウェア
- ■ Web系
  ■ Web系
  - ■ Nginx
    ■ Nginx
    
    Nginx
    
    nginx.conf
    
    コマンド
    
    ビルトインモジュール
    
    ユーティリティモジュール
  - ■ Apache
    ■ Apache
    
    Apache
    
    apache.conf
    
    コマンド
- ■ アプリケーション系
  ■ アプリケーション系
  - ■ PHP-FPM
    ■ PHP-FPM
    
    PHP-FPM
    
    設定ファイル
  - ■ uWSGI
    ■ uWSGI
    
    uWSGI
    
    設定ファイル
  - Uvicorn
- ■ リレーショナルDB系
  ■ リレーショナルDB系
  - ■ RDBMS
    ■ RDBMS
    
    RDBMS
    
    プラクティス集
    
    ACID
  - ■ My︎SQL
    ■ My︎SQL
    
    MySQL
    
    設定ファイル
    
    ■ SQL
    ■ SQL
    
    DML
    
    DCL
    
    DDL
  - ■ PostgreSQL
    ■ PostgreSQL
    
    設定ファイル
    
    Repmgr
- ■ NoSQL DB系
  ■ NoSQL DB系
  - NoSQL DB
  - Redis
- ■ 接続プールプロキシ系
  ■ 接続プールプロキシ系
  - ■ PgBouncer
    ■ PgBouncer
    
    PgBouncer
    
    設定ファイル
- ■ 時系列DB系
  ■ 時系列DB系
  - TSDB
  - ■ VictoriaMetrics
    ■ VictoriaMetrics
    
    VictoriaMetrics
    
    コマンド
- ■ サービスメッシュ系
  ■ サービスメッシュ系
  - ■ サービスメッシュ
    ■ サービスメッシュ
    
    サービスメッシュ
    
    サービスメッシュの担う責務
  - ■ Envoy
    ■ Envoy
    
    Envoy
    
    envoy.yaml
    
    テレメトリー
    
    API
    
    プラクティス
  - ■ Istio
    ■ Istio
    
    Istio
    
    ■ サイドカーモード
    ■ サイドカーモード
    
    コントロールプレーン
    
    データプレーン
    
    ■ アンビエントモード
    ■ アンビエントモード
    
    コントロールプレーン
    
    データプレーン
    
    Istioを採用しない場合との比較
    
    コマンド
    
    プラクティス集
    
    設計パターン
    
    ■ リソース
    ■ リソース
    
    リソース
    
    ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    メタデータ
    
    ConfigMap系
    
    Secret系
    
    ■ IstioOperator
    ■ IstioOperator
    
    IstioOperator
    
    リソース定義
- ■ DNS系
  ■ DNS系
  - ■ CoreDNS
    ■ CoreDNS
    
    CoreDNS
    
    設定ファイル
- ■ セキュリティ系
  ■ セキュリティ系
  - ■ Cert Manager
    ■ Cert Manager
    
    Cert Manager
    
    リソース定義
  - ■ Falco
    ■ Falco
    
    Falco
    
    設定ファイル
  - ■ Keycloak
    ■ Keycloak
    
    Keycloak
    
    設定ファイル
    
    ■ クライアントパッケージ
    ■ クライアントパッケージ
    
    JavaScript
  - ■ OAuth2 Proxy
    ■ OAuth2 Proxy
    
    OAuth2 Proxy
    
    設定ファイル
- ■ メッセージング系
  ■ メッセージング系
- ■ データ分析系
  ■ データ分析系
  - データ分析
🐧 OS
🐧 OS
- ■ Linuxカーネル
  ■ Linuxカーネル
- ■ ユーティリティ
  ■ ユーティリティ
  - ユーティリティ
  - Unix系標準ユーティリティ
  - シェル
  - スクリプト
  - ■ パッケージ
    ■ パッケージ
    
    メモリ系
    
    ネットワーク系
    
    セキュリティ系
    
    ストレージ系
  - ■ パッケージ管理ユーティリティ
    ■ パッケージ管理ユーティリティ
    
    パッケージ管理ユーティリティ
    
    Linux系
    
    RedHat系
    
    Debian系
- ■ 言語プロセッサ
  ■ 言語プロセッサ
  - 言語プロセッサ
  - 機械語と進数
🔠 言語
🔠 言語
- 言語の種類
- 言語別の処理方式
- ■ データ記述言語
  ■ データ記述言語
  - ■ JSON
    ■ JSON
    
    JSON
    
    JSONクエリ
  - ■ YAML
    ■ YAML
    
    YAML
  - ■ Protocol Buffer
    ■ Protocol Buffer
    
    Protocol Buffer
    
    コマンド
    
    ■ Protocol Bufferコンパイラー
    ■ Protocol Bufferコンパイラー
    
    Goプラグイン
- ■ Go
  ■ Go
  - Go
  - 設定
  - コマンド
  - ■ ロジック
    ■ ロジック
    
    データ
    
    メソッド
    
    検証ロジック
  - ■ フレームワーク
    ■ フレームワーク
    
    Gin
  - ■ パッケージ
    ■ パッケージ
    
    ビルトインパッケージ
    
    SQLパッケージ
    
    ユーティリティパッケージ
- Java
- ■ JavaScript
  ■ JavaScript
  - ■ プロトタイプベース
    ■ プロトタイプベース
    
    プロトタイプ
    
    メソッド/データ
  - ■ ロジック
    ■ ロジック
    
    検証ロジック
    
    非同期処理ロジック
    
    デバッグ
    
    認証
  - ■ フレームワーク
    ■ フレームワーク
    
    Nuxt.js
    
    ■ Vue.js
    ■ Vue.js
    
    Vue.js
    
    vue-router
    
    Vuex
    
    ■ Remix
    ■ Remix
    
    Remix
    
    コマンド
  - ■ パッケージ
    ■ パッケージ
    
    パッケージ管理
    
    ユーティリティパッケージ
    
    Reactパッケージ
    
    ■ SQLパッケージ
    ■ SQLパッケージ
    
    Prisma
  - ■ ブラウザ
    ■ ブラウザ
    
    ブラウザレンダリング
- ■ PHP
  ■ PHP
  - PHP
  - 設定
  - コマンド
  - ■ クラスベース
    ■ クラスベース
    
    クラス
    
    メソッド/データ
    
    データ構造
  - ■ ロジック
    ■ ロジック
    
    検証ロジック
    
    エラーとエラーハンドリング
    
    反復ロジック
    
    アルゴリズム
    
    デバッグ
  - ■ フレームワーク
    ■ フレームワーク
    
    ■ Laravel
    ■ Laravel
    
    コンポーネント
    
    ︎Eloquent ORM
    
    専用パッケージ
    
    認証／認可系パッケージ
    
    コマンド
    
    ■ Symfony
    ■ Symfony
    
    コンポーネント
    
    Doctrine ORM
  - ■ パッケージ
    ■ パッケージ
    
    パッケージ管理
    
    SQLパッケージ
    
    ユーティリティパッケージ
- ■ Python
  ■ Python
  - Python
  - ■ フレームワーク
    ■ フレームワーク
    
    ■ Flask
    ■ Flask
    
    コンポーネント
    
    コマンド
    
    パッケージ
  - ■ パッケージ
    ■ パッケージ
    
    パッケージ管理
- R
- ■ TypeScript
  ■ TypeScript
  - TypeScript
  - 設定
🧪 テスト
🧪 テスト
- ■ ホワイトボックステスト
  ■ ホワイトボックステスト
  - ホワイトボックステスト
  - ■ アプリ (PHP)
    ■ アプリ (PHP)
    
    PHPのテストツール
    
    ■ 静的解析
    ■ 静的解析
    
    PHPStan
    
    ■ ユニットテスト
    ■ ユニットテスト
    
    PHPUnit
    
    Phake
  - ■ アプリ (Go)
    ■ アプリ (Go)
    
    Goのテストツール
    
    ■ 静的解析
    ■ 静的解析
    
    golangci-lint
    
    ■ ユニットテスト
    ■ ユニットテスト
    
    testify
  - ■ インフラ
    ■ インフラ
    
    ■ 静的解析
    ■ 静的解析
    
    静的解析ツール
    
    ■ 文法の誤りテスト
    ■ 文法の誤りテスト
    
    kubeconform
    
    ■ コード規約違反テスト
    ■ コード規約違反テスト
    
    confest
    
    ■ Kyverno
    ■ Kyverno
    
    Kyverno
    
    リソース定義
    
    ■ ベストプラクティス違反テスト
    ■ ベストプラクティス違反テスト
    
    krr
    
    polaris
    
    ■ バージョンテスト
    ■ バージョンテスト
    
    pluto
    
    nova
    
    ■ 脆弱性診断
    ■ 脆弱性診断
    
    checkov
    
    kics
    
    kube-score
  - ■ アプリ/インフラ両方
    ■ アプリ/インフラ両方
    
    ■ 脆弱性診断
    ■ 脆弱性診断
    
    trivy
- ■ ブラックボックステスト
  ■ ブラックボックステスト
  - ブラックボックステスト
  - ■ システムテスト
    ■ システムテスト
    
    システムテスト
    
    JMeter
    
    ChaosMesh
💻 ハードウェア
💻 ハードウェア
🌏 ネットワーク
🌏 ネットワーク
- ネットワーク
- TCP階層モデル
- ■ OSI参照モデル
  ■ OSI参照モデル
  - OSI参照モデル
  - ■ L5 ~ L7
    ■ L5 ~ L7
    
    L5 ~ L7
    
    HTTP
  - ■ L4
    ■ L4
    
    L4
    
    TCP
    
    ポート
  - ■ L3
    ■ L3
    
    L3
    
    IPアドレス
    
    ルーター
  - L2
  - L1
🔐 セキュリティ
🔐 セキュリティ
- ■ サイバー攻撃
  ■ サイバー攻撃
  - サイバー攻撃
  - マルウェア
- ■ ネットワークセキュリティ
  ■ ネットワークセキュリティ
  - ネットワークセキュリティ
  - ■ アプリケーションデータの暗号化技術
    ■ アプリケーションデータの暗号化技術
    
    アプリケーションデータの暗号化技術
    
    暗号方式
    
    暗号化プロトコル
  - ■ 保管データの暗号化技術
    ■ 保管データの暗号化技術
    
    保管データの暗号化技術
- ■ 認証／認可
  ■ 認証／認可
  - ■ 認証
    ■ 認証
    
    認証
    
    HTTP認証
    
    Form認証
    
    JWT
  - ■ 認可
    ■ 認可
    
    認可
    
    OpenPolicyAgent
  - ■ SSO
    ■ SSO
    
    SSO
    
    OAuth
    
    SAML
    
    OIDC
⛅️ 3大クラウド
⛅️ 3大クラウド
- 3大クラウド
- ■ AWS
  ■ AWS
  - AWS CLI
  - ■ AWSリソース
    ■ AWSリソース
    
    アカウント
    
    Amplify
    
    ■ API Gateway
    ■ API Gateway
    
    ︎API Gateway
    
    ︎API Gatewayに対するymlインポート
    
    AutoScaling
    
    Backup
    
    Certificate Manager
    
    Chatbot
    
    CloudFormation
    
    CloudFront
    
    CloudTrail
    
    CloudWatch
    
    Code兄弟
    
    Control Tower
    
    DirectConnect
    
    EC2
    
    ECR
    
    ECS
    
    EFS
    
    EKS
    
    ︎ElastiCache
    
    EventBridge
    
    FireLens
    
    Global Accelerator
    
    Glue
    
    IAM
    
    Kinesis
    
    KMS
    
    ■ Lambda
    ■ Lambda
    
    Lambda
    
    Lambda関数
    
    Load Balancer
    
    ■ RDS
    ■ RDS
    
    RDS
    
    Aurora
    
    Redshift
    
    Route53
    
    S3
    
    Secrets Manager
    
    SES
    
    SNS
    
    SQS
    
    Step Functions
    
    STS
    
    Systems Manager
    
    VPC
    
    WAF
    
    WorkMail
    
    X-Ray
  - ■ プラクティス集
    ■ プラクティス集
    
    運用性
    
    信頼性
    
    アプリケーションデータ安全性
    
    ストレージ安全性
    
    コスト最適化
    
    ■ アーキテクチャ
    ■ アーキテクチャ
    
    マイクロサービスアーキテクチャ
  - ツール
- ■ Google Cloud
  ■ Google Cloud
  - Google Cloud CLI
  - ■ Google Cloudリソース
    ■ Google Cloudリソース
    
    ■ Anthos
    ■ Anthos
    
    Anthos
    
    アップグレード
    
    Cloud Logging
    
    IAM
📦 仮想化
📦 仮想化
- 仮想化
- ■ コンテナ型仮想化
  ■ コンテナ型仮想化
  - コンテナ
  - ■ Docker
    ■ Docker
    
    Docker
    
    ストレージ
    
    ネットワーク
    
    コマンド
  - ■ Containerd
    ■ Containerd
    
    Containerd
    
    コマンド
⚙️ IaC
⚙️ IaC
- IaC
- ■ 手続き型
  ■ 手続き型
  - ■ Ansible
    ■ Ansible
    
    Ansible
    
    コマンド
    
    Playbook
    
    設定ファイル
    
    Ansible Galaxy
  - ■ Docker
    ■ Docker
    
    Dockerfile
    
    コマンド
    
    プラクティス集
- ■ 宣言型
  ■ 宣言型
  - ■ Docker Compose
    ■ Docker Compose
    
    コマンド
    
    docker-compose.yml
  - ■ Kaniko
    ■ Kaniko
    
    Kaniko
    
    設定ファイル
    
    コマンド
  - ■ Packer
    ■ Packer
    
    Packer
    
    コマンド
    
    テンプレート
  - ■ Serverless Framework
    ■ Serverless Framework
    
    serverless.yml
    
    コマンド
  - ■ Terraform
    ■ Terraform
    
    コマンド
    
    設定ファイル
    
    ■ tfファイル
    ■ tfファイル
    
    ブロック
    
    モジュール
    
    ■ プロバイダー
    ■ プロバイダー
    
    AWSプロバイダー
    
    Kubernetesプロバイダー
    
    CI/CDパイプライン
    
    ■ プラクティス集
    ■ プラクティス集
    
    プラクティス集
    
    tfstateファイル分割
  - ■ Vagrant
    ■ Vagrant
    
    Vagrantfile
    
    コマンド
☸️ K8s
☸️ K8s
- ■ Kubernetes
  ■ Kubernetes
- ■ プラクティス集
  ■ プラクティス集
- ■ Kubernetesリソース
  ■ Kubernetesリソース
  - Kubernetesリソース
  - ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    共通項目
    
    AWS EKS
- ■ カスタムリソース
  ■ カスタムリソース
🌊 K8sアプリ
🌊 K8sアプリ
- ■ 開発環境
  ■ 開発環境
  - ■ Minikube
    ■ Minikube
    
    Minikube
    
    コマンド
  - ■ Kind
    ■ Kind
    
    Kind
    
    コマンド
    
    設定ファイル
  - ■ K3D
    ■ K3D
    
    コマンド
    
    設定ファイル
  - ■ K3S
    ■ K3S
    
    コマンド
    
    設定ファイル
- ■ 本番環境
  ■ 本番環境
  - ■ VCluster
    ■ VCluster
    
    VCluster
- ■ マニフェスト管理
  ■ マニフェスト管理
  - ■ Helm
    ■ Helm
    
    Helm
    
    ■ コマンド
    ■ コマンド
    
    コマンド
    
    helmプラグイン
    
    ■ チャート
    ■ チャート
    
    チャート
    
    共通項目
    
    関数
    
    プラクティス集
    
    ■ Helmfile
    ■ Helmfile
    
    Helmfile
    
    コマンド
  - ■ Kustomize
    ■ Kustomize
    
    Kustomize
    
    コマンド
    
    プラクティス集
⏬ K8sアドオン
⏬ K8sアドオン
- ■ コントロールプレーン系
  ■ コントロールプレーン系
  - admission-controllers
- ■ Ingress Controller系
  ■ Ingress Controller系
  - Ingress Controller
  - ■ AWS Load Balancer Controller
    ■ AWS Load Balancer Controller
    
    AWS Load Balancer Controller
    
    リソース定義
  - ■ Nginx Ingress Controller
    ■ Nginx Ingress Controller
    
    Nginx Ingress Controller
    
    リソース定義
- ■ ハードウェアリソース管理系
  ■ ハードウェアリソース管理系
  - addon-resizer
  - cluster-autoscaler
  - descheduler
  - metrics-server
  - ■ Karpenter
    ■ Karpenter
    
    Karpenter
    
    リソース定義
- ■ ネットワーク系
  ■ ネットワーク系
  - CNI
  - Cilium
  - ExternalDNS
- ■ ストレージ系
  ■ ストレージ系
  - ■ ストレージCSIドライバー
    ■ ストレージCSIドライバー
    
    ストレージCSIドライバー
- ■ Secret系
  ■ Secret系
  - ■ SecretsストアCSIドライバー
    ■ SecretsストアCSIドライバー
    
    SecretsストアCSIドライバー
    
    ︎リソース定義
  - ■ ExternalSecretsOperator
    ■ ExternalSecretsOperator
    
    ExternalSecretsOperator ExternalSecretsOperator
    このページの内容
    
    はじめに
    
    01. ExternalSecretsOperatorの仕組み
    
    アーキテクチャ
    
    external-secrets
    
    external-secrets-controller
    
    02. リソース定義
    
    ExternalSecret
    
    ClusterSecretStore
- ■ デバッグ系
  ■ デバッグ系
  - Telepresence
- ■ AWS EKS系
  ■ AWS EKS系
♾️ DevOps
♾️ DevOps
- ■ DevOps
  ■ DevOps
  - DevOps
  - ■ SREing
    ■ SREing
    
    SREing
    
    アンチパターン
  - ■ Platform Engineering
    ■ Platform Engineering
    
    Platform Engineering
- ■ 技術的要素
  ■ 技術的要素
  - ■ ドキュメンテーション
    ■ ドキュメンテーション
    
    ドキュメンテーション
    
    Mermaid
- ■ 技術的要素
  ■ 技術的要素
  - 文化
🔄 CI/CD
🔄 CI/CD
- CI/CD
- デプロイ手法
- ■ CIツール
  ■ CIツール
  - GitHub Actions
  - GitLab CI
  - Capistrano
  - ■ CircleCI
    ■ CircleCI
    
    CircleCI
    
    config.yml
    
    orbs
    
    プラクティス集
  - ■ Skaffold
    ■ Skaffold
    
    skaffold.yaml
    
    コマンド
- ■ CDツール
  ■ CDツール
  - ■ ArgoCD
    ■ ArgoCD
    
    ArgoCD
    
    コマンド
    
    プラクティス集
    
    ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    共通項目
    
    プラグイン
    
    認証／認可系
    
    ConfigMap系
    
    Secret系
    
    Job系
  - ■ Argo Rollouts
    ■ Argo Rollouts
    
    Argo Rollouts
    
    リソース定義
- ■ 自動レビューツール
  ■ 自動レビューツール
🔎 可観測性
🔎 可観測性
- 可観測性
- ■ 監視
  ■ 監視
- ■ テレメトリー
  ■ テレメトリー
- ■ 監視ツール
  ■ 監視ツール
  - 監視ツール
  - ■ Datadog
    ■ Datadog
    
    Datadog
    
    datadogエージェントの設定
    
    インテグレーション
    
    ■ テレメトリー
    ■ テレメトリー
    
    メトリクス
    
    ログ
    
    分散トレース
    
    テレメトリー間の紐づけ
    
    ■ クライアントパッケージ
    ■ クライアントパッケージ
    
    分散トレース
  - ■ FluentBit/Fluentd
    ■ FluentBit/Fluentd
    
    FluentBit/Fluentd
    
    ■ FluentBit
    ■ FluentBit
    
    設定ファイル
    
    コマンド
    
    リソース定義
  - ■ Grafana
    ■ Grafana
    
    Grafana
    
    ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    ConfigMap
    
    ダッシュボード
  - ■ Jaeger
    ■ Jaeger
    
    Jaeger
  - ■ Kiali
    ■ Kiali
    
    Kiali
    
    ■ リソース定義
    ■ リソース定義
    
    ConfigMap系
  - ■ OpenTelemetry
    ■ OpenTelemetry
    
    OpenTelemetry
    
    リソース定義
    
    計装
    計装
    
    計装
    
    ■ 分散トレース
    ■ 分散トレース
    
    クライアントパッケージ
    
    Go
    
    Python
    
    ■ OpenTelemetry Collector
    ■ OpenTelemetry Collector
    
    OpenTelemetry Collector
    
    設定ファイル
  - ■ Prometheus
    ■ Prometheus
    
    Prometheus
    
    設定ファイル
    
    リソース定義
    
    ■ Exporter
    ■ Exporter
    
    Exporter
    
    Blackbox Exporter
    
    kube-state-metrics
    
    Node Exporter
    
    ■ メトリクス
    ■ メトリクス
    
    メトリクス
    
    PromQL
    
    クライアントパッケージ
  - ■ Googleアプリ
    ■ Googleアプリ
    
    Googleアナリティクス
    
    Googleサーチコンソール
- ■ インシデント管理ツール
  ■ インシデント管理ツール
  - PagerDuty
👥 開発手法
👥 開発手法
- 開発手法論
- 組織論
- OSSコントリビューション
- テクノロジーマネジメント
- ■ プロダクトマネジメント
  ■ プロダクトマネジメント
  - プロダクトマネジメント
  - ■ プロジェクトマネジメント
    ■ プロジェクトマネジメント
    
    プロジェクトマネジメント
    
    タスク管理
    
    見積もり
- ■ バージョン管理
  ■ バージョン管理
  - ■ Git
    ■ Git
    
    コマンド
    
    GitHub

ExternalSecretsOperator＠Secret系¶

はじめに¶

本サイトにつきまして、以下をご認識のほど宜しくお願いいたします。

https://hiroki-it.github.io/tech-notebook/

01. ExternalSecretsOperatorの仕組み¶

アーキテクチャ¶

ExternalSecretsOperatorは、external-secrets、external-secrets-controller、から構成される。

external-secrets-operator_architecture

https://external-secrets.io/v0.8.1/

https://techblog.zozo.com/entry/kubernetes-external-secrets-to-external-secrets-operator

external-secrets¶

使用するプロバイダーを設定する。

external-secrets-controller¶

external-secrets-controllerは、プロバイダー (例：AWS、Google Cloud、Vault) のAPIと通信し、プロバイダーのSecretストア (例：AWS Secrets Manager、Google Cloud Secret Manager、Vault SecretsEngine) から変数を取得する。

その後、取得した変数をSecretのデータとして注入する。

Secretを作成せずにPod内コンテナにマウントするSecretsストアCSIドライバーと比較して、Kubernetesとプロバイダーがより疎結合になる。

一方で、同様にSecretのデータとして注入するhelm-secrets/vault-helmと比較して、関係するコンポーネントが増えるため脆弱性が高まる。

02. リソース定義¶

ExternalSecret¶

apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: wordpress-admin-secret
  namespace: default
spec:
  refreshInterval: 1h
  secretStoreRef:
    name: aws-secret-store
    kind: ClusterSecretStore
  target:
    name: app-secret
    creationPolicy: Owner
  data:
    - secretKey: database-secret
      remoteRef:
        key: aws-secret-manager/database
        property: password

ClusterSecretStore¶

apiVersion: external-secrets.io/v1beta1
kind: ClusterSecretStore
metadata:
  name: aws-secret-store
spec:
  provider:
    aws:
      service: SecretsManager
      region: ap-northeast-1
      auth:
        jwt:
          serviceAccountRef:
            name: external-secrets
            namespace: external-secrets