Zurück zur Übersicht

Begriff

Secret (K8s)

Kubernetes Security S1
2 Quellen 1 Lernpfad 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Ein Passwort gehört nicht in den Code. Und auch nicht in eine ConfigMap (die ist offen lesbar). Kubernetes hat dafür Secrets. Es ist ein spezielles Objekt für sensible Daten (DB-Passwort, API-Token, SSL-Key). Du kannst es als Datei in den Pod mounten (/etc/secrets/db-pass) oder als Variable (DB_PASS) nutzen. Der Clou: Kubernetes stellt sicher, dass Secrets nicht versehentlich in Logs oder kubectl describe auftauchen (eingeschränkt).

Merksatz: Ein Kubernetes-Objekt zur Speicherung und Verwaltung sensibler Informationen wie Passwörter, OAuth-Token und SSH-Schlüssel, getrennt vom Pod-Code.


Quick-Check

  1. tmpfs?
    Secrets, die als Datei gemountet werden, liegen nie auf der Node-Festplatte. Sie liegen im RAM (tmpfs). Wenn der Strom ausfällt, sind sie weg. Das schützt vor Festplatten-Forensik.
  2. Environment vs Volume?
    Env Var ist unsicherer. Wenn der Prozess crasht, steht das ganze Environment (inkl. Passwort) oft im Crash Dump Log. Files sind sicherer.
  3. bitnami-sealed-secrets?
    Eine Alternative zu ESO. Du verschlüsselst das Secret lokal mit dem Public Key des Clusters. Das Ergebnis ("SealedSecret") darf ins Git. Nur der Controller im Cluster (Private Key) kann es entschlüsseln. Einfacher als Vault.