Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GKE Secret Manager連携の進化 K8s Secret と Secret Man...
Search
Cloud Ace
November 10, 2025
Technology
29
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
GKE Secret Manager連携の進化 K8s Secret と Secret Manager が同期可能に!(Preview)
Cloud Ace
November 10, 2025
More Decks by Cloud Ace
See All by Cloud Ace
今年の最難関と思われるProfessional Security Operations Engineer の概要
cloudace
0
21
Gemini CLI x Google Cloud Document MCP で作る Google Cloud クイズボット
cloudace
0
22
魅力的な LT を作りたい
cloudace
0
17
AIエージェントはqじゃなくてwqしよう
cloudace
0
16
文系からSRE分野に挑戦 ( 新卒 2年目、私がGCP/AWSを学んで 得た気づき)
cloudace
0
54
Gemini を Raspberry Pi で走ら せた経験
cloudace
0
230
ADK / BigQueryで実現する分析エージェントのガバナンス設計
cloudace
0
46
【ガードレール】組織ポリシーで脆弱な設定を防ごう
cloudace
0
160
Cloud RunならDBも含めた ゼロスケールが可能? WordPressをゼロスケールさせた話
cloudace
0
31
Other Decks in Technology
See All in Technology
MySQL & MySQL HeatWave Report - June 2026
freshdaz
0
100
生成 AI 実践ガイド (概略版) AIガバナンス編
asei
0
190
徹底討論!ECS vs EKS!
daitak
3
1.7k
AWS Security Agent といっしょに脅威モデリングをやってみよう
amarelo_n24
1
210
【Snowflake Summit 2026 Recap!!】Snowflake Summit Deep Dive: Security & Governance
civitaspo
1
310
AI時代のコスト管理を考えよう〜明日から使える実践AWSノウハウ~
yoshimi0227
0
860
レガシーな広告配信システムでのAI駆動開発/運用の挑戦
i16fujimoto
0
120
アジャイルな経理と Claude Code と経営の未来
kawaguti
PRO
3
190
Agile and AI Redmine Japan 2026
hiranabe
4
470
Zenoh on Zephyr on LiteX
takasehideki
2
110
Microsoft のサポートとフィードバック総まとめ
murachiakira
PRO
0
110
自分が詳しくない領域でAIを使う #プロヒス2026
konifar
20
7.4k
Featured
See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
66
55k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
240
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
Art, The Web, and Tiny UX
lynnandtonic
304
22k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
320
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2k
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
140
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Automating Front-end Workflow
addyosmani
1370
210k
Chasing Engaging Ingredients in Design
codingconduct
0
230
Transcript
GKE Secret Manager連携の進化 K8s Secret と Secret Manager が同期可能に!(Preview) 2025.10.28
DevSecOps 事業部 髙橋和真 クラウドエース株式会社|(C) Cloud Ace, Inc.
1. 従来のGKEシークレット管理
External Secrets Operator (ESO) External Secrets Operator (ESO) • メリット
• K8s標準のSecretオブジェクトに同期 ◦ 環境変数 (secretKeyRef) で利用可 能 • 設定間隔で自動的に値を同期 • デメリット : • サードパーティ製 ◦ 別途インストール・運用・管理のコス トが発生 3 クラウドエース株式会社|(C) Cloud Ace, Inc.
Secret Manager アドオン (CSI) Secret Manager アドオン • メリット •
GKEマネージド機能で追加コストなし • クラスタのetcdに保存されない(Podのメモ リにしかシークレットがない) • デメリット • ボリューム(ファイル)マウントのみ ◦ 使えるかはアプリによる ◦ 環境変数として利用するには工夫が 必要 • 更新の自動同期がない クラウドエース株式会社|(C) Cloud Ace, Inc. 3
2. Secret Manager と Kubernetes Secretの同期 (Preview)
Secret Manager と Kubernetes Secretの同期(Preview) https://cloud.google.com/secret-manager/docs/sync-k8-secrets
Secret Manager と Kubernetes Secretの同期(Preview) CSI本家の同期機能が GKE にも実装され、従来の方法の良いとこ取りが実現で きるようになります。 •
Secret Managerのシークレットを、Kubernetesの標準的な Secretオブジェクト に同期 • Secret Manager側の変更を自動でGKEクラスタ内の Secretに同期(ローテーション) Secret への同期が可能に これまでESOでしか実現できなかった 「K8s Secretへの同期」と「自動更新」 がGKEマネージド機能 として提供され ます アプリに依存せず利用可能 ファイルマウントだけでなく標準 Secret として作成可能に。アプリに依存なく 環 境変数として利用 できます 運用負荷の軽減 サードパーティ製オペレーターの イン ストールや管理が不要 になり、運用負 荷が大幅に軽減されます クラウドエース株式会社|(C) Cloud Ace, Inc. 5
使用方法 クラスタ作成時にフラグをつける クラウドエース株式会社|(C) Cloud Ace, Inc. 5 gcloud beta container
clusters create-auto CLUSTER_NAME --location=CONTROL_PLANE_LOCATION \ --enable-secret-sync \ --enable-secret-sync-rotation \ --secret-sync-rotation-interval=1m
使用方法 Secret ManagerにアクセスできるSAを用意してリソースを作成する クラウドエース株式会社|(C) Cloud Ace, Inc. 5 apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass metadata: name: SECRET_PROVIDER_CLASS_NAME namespace: NAMESPACE spec: provider: gke parameters: secrets: | - resourceName: "projects/SECRET_PROJECT_ID/secrets/SECRET_ NAME/versions/SECRET_VERSION" path: "FILENAME.txt" - resourceName: "projects/SECRET_PROJECT_ID/secrets/SECRET_ NAME/versions/SECRET_VERSION" path: "FILENAME1.txt" apiVersion: secret-sync.gke.io/v1 kind: SecretSync metadata: name: KUBERNETES_SECRET_NAME namespace: NAMESPACE spec: serviceAccountName: KSA_NAME secretProviderClassName: SECRET_PROVIDER_CLASS_NAME secretObject: type: KUBERNETES_SECRET_TYPE data: - sourcePath: "FILENAME.txt" targetKey: "TARGET_KEY1" - sourcePath: "FILENAME1.txt" targetKey: "TARGET_KEY2"
従来の方法は不要? GAされたら 基本的にGKEのシークレット管理はこれでいいと思っています。 一方で、K8s Secret にはパラメータをbase64でエンコードした値を etcdに保存しているというセキュリ ティ面の課題があります。 なので、より高いセキュリティを維持する場合以下の運用がいいでしょう。 •
GKE Secret Manager 同期 + アプリケーションレイヤのSecret 暗号化 • 従来のSecret Manager アドオンを使いPodのメモリで使用する また、同期の細かい制御(オブジェクトの一部だけ Secret Managerから取った値にする)が必要な場合 External Secret は引き続き必要な可能性があります(未検証) クラウドエース株式会社|(C) Cloud Ace, Inc. 5
3. まとめ
まとめ Secret Manager と Kubernetes Secretの同期ができるようになり、 GKEの運用がさらに楽になる。 GAされたら多くの場面でGKE Secret Managerの同期を利用するの
が良い選択肢となる。 ただ完全に従来の方法から置き換わるわけではない。 クラウドエース株式会社|(C) Cloud Ace, Inc. 7
Thank you. クラウドエース株式会社|(C) Cloud Ace, Inc. 7