Upgrade to Pro — share decks privately, control downloads, hide ads and more …

k8sのシークレット管理をちょっとだけ楽にした話

Avatar for muso muso
June 06, 2026
Technology
100
0

 k8sのシークレット管理をちょっとだけ楽にした話

Road to SRE NEXT 2026 @神戸の発表資料

Avatar for muso

muso

June 06, 2026

More Decks by muso

See All by muso
ALB「証明書上限問題」からの脱却
Avatar for muso nishiokashinji
0
360
Railsアプリの画像配信最適化 - Imgproxyを活用したパフォーマンス改善事例
Avatar for muso nishiokashinji
0
45

Other Decks in Technology

See All in Technology
機械学習を「社会実装」するということ 2026年夏版 / Social Implementation of Machine Learning June 2026 Version
Avatar for Moe Uchiike(内池 もえ) moepy_stats
3
890
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
Avatar for mu (Mizuho Uehara) muehara
1
110
AIっぽい文章を採点して人間らしく直すアプリを作ってみた
Avatar for Yuuki Yamashita yama3133
2
110
2026TECHFRESH畢業分享會 - Lightning Talk - 打造精準高效的 MCP 設計模式與測試實務
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
360
製造業のクラウド活用最適解〜AI,DXを加速するデータ基盤の作り方〜
Avatar for 濱田孝治 hamadakoji
0
430
AI活用を推進するために ファインディが下した、一つの小さな決断
Avatar for starfish719 starfish719
0
280
Amazon Bedrock AgentCore ワークショップ JAWS UG TOHOKU / amazon-bedrock-agentcore-workshop-jawsug-tohoku-2026
Avatar for geeawa gawa
9
560
On-behalf-of Token exchange with AgentCore Identity
Avatar for iganin hironobuiga
2
120
「嘘をつくテスト」の失敗例から学ぶ 良いテストコード #frontend_phpcon_do
Avatar for asumikam asumikam
0
600
Claude Code×Terraform IaC テンプレート駆動開発
Avatar for Itou Hideki itouhi
1
470
Kubernetesにおける学習基盤とLLMOpsの概要
Avatar for ry ry
1
200
2026 TECHFRESH 畢業分享會 - AI-Native 重塑軟體工程與虛擬講師
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
360

Featured

See All Featured
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
230
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6.2k
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
380
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
187
22k
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
210
What does AI have to do with Human Rights?
Avatar for Per Axbom axbom
PRO
1
2.2k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
528
40k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
860
Impact Scores and Hybrid Strategies: The future of link building
Avatar for Tamara Novitovic tamaranovitovic
0
300
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2.3k
We Analyzed 250 Million AI Search Results: Here's What I Found
Avatar for Josh Blyskal joshbly
1
1.4k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
9.1k

Transcript

  1. k8s のシークレット管理を ちょっとだけ楽にした話 Road to SRE NEXT 2026 @ 神戸

    2026/6/5

  2. 自己紹介 無双(@nishi_okashi ) SRE チームのエンジニア 加古川生まれ、稲美町在住 AKASHI.rb の管理人 Super Ramen

    Engineer

  3. 今日話すこと k8s(EKS) を運用して約2 年 Secret の管理につらみがあった それをどうやって解決したかを話します

  4. 前提のはなし(弊社のCI/CD ) GitOps を採用 (Flux / ArgoCD) システムの設定ファイルをすべてGit リポジトリ(GitHub 等)で

    管理 そのため、Secret もGit に置く必要がある

  5. Secret のマニフェスト 中身はBase64 エンコードされているだけ apiVersion: v1 kind: Secret metadata: name:

    db-credentials type: Opaque data: username: YWRtaW4= # admin password: cGFzc3dvcmQxMjM= # password123

  6. 危険が危ない

  7. はじめは暗号化して管理 SOPS: Secrets OPerationS 「キー」はそのまま、 「値」だけを暗号化できるツール AWS KMS などで暗号化できる GitOps

    ツールと連携して自動復号

  8. 暗号化したSecret のマニフェスト apiVersion: v1 kind: Secret metadata: name: db-credentials type:

    Opaque data: username: ENC[AES256_GCM,data:k8vQ==,iv:9Hx...,tag:Lm2...,type:str] password: ENC[AES256_GCM,data:pZ3rT9w==,iv:Qa1...,tag:Rb7...,type:str] sops: kms: - arn: arn:aws:kms:ap-northeast-1:123456789012:key/xxxx-xxxx encrypted_regex: ^(data|stringData)$

  9. SOPS のつらみ ①:登録がめんどくさ い 1. パスワードを考える 2. 値ごとにBase64 へ変換する echo

    -n 'password123' | base64 3. Secret のマニフェストに手で書き込む 4. 暗号化する sops encrypt -i secret.sops.yaml

  10. できれば平文をシュッと登録したい

  11. SOPS のつらみ ②:結局Git に機密情報 が残る 暗号化しているとはいえ、機密情報をGit に置くことに変わりはな い 暗号化前に誤ってpush するリスクも残る

  12. やっぱり機密情報はGit 外で管理した い、 、 、

  13. 取り込み役:ESO 外部ストアの値からk8s Secret を作るツール(External Secrets Operator ) どこからSecret を取ってくるかを書くだけ ESO

    が裏でk8s Secret を作成・同期

  14. ExternalSecret のマニフェスト(抜粋) spec: refreshInterval: "1m" secretStoreRef: name: openbao kind: SecretStore

    target: name: db-credentials data: - secretKey: password remoteRef: key: database/db-credentials property: password

  15. 保管先:OpenBao Git 外のSecret ストアとして採用 HashiCorp Vault からフォークされ、互換性をもつOSS 機密情報を一元管理するSecret ストア

  16. 実際の画面

  17. なぜOpenBao ? Secret 専用ツールなので、開発者は値を入れるだけ(AWS/GCP の マネコン操作が不要) セルフホストのOSS なので、Secret 数に応じた従量課金がない 特定のクラウドベンダーにロックインされない(マルチクラウド・

    移行耐性)

  18. まとめ Before 登録が手間(Base64 化 → 手書き → 暗号化) 暗号化してもGit に機密情報が残る

    After :OpenBao で誰でも簡単に登録できる 登録の手間が減った(toil 削減) Git に機密情報が載らない(誤push の心配もなし) 対価として、Secret ストアの信頼性は自分たちで担保する

  19. ご清聴ありがとうございました