Argo CD Vault Plugin
Security-as-Code
Wstrzykiwanie sekretów do manifestów Kubernetes w GitOps.
Argo CD Vault Plugin rozwiązuje problem sekretów w GitOps: w repo trzymasz manifesty z placeholderami zamiast wartości, a wtyczka podczas synchronizacji pobiera prawdziwe sekrety z backendu (Vault, OpenBao, menedżery chmurowe) i wstrzykuje je do zasobów Kubernetes. Dzięki temu sekrety nigdy nie lądują w Git, a deklaratywny model Argo CD pozostaje nienaruszony.
Kiedy używać
- Robisz GitOps z Argo CD i potrzebujesz sekretów bez trzymania ich w repo.
- Masz już backend sekretów (Vault/OpenBao/chmura) jako źródło prawdy.
- Chcesz placeholdery w manifestach zamiast zaszyfrowanych wartości.
Przykład użycia
# manifest w repo — placeholder zamiast wartości
apiVersion: v1
kind: Secret
metadata: { name: db }
stringData:
password: <path:secret/data/eiac/db#password>
Przy synchronizacji wtyczka podstawia wartość z Vaulta.
Warto wiedzieć
- Alternatywa wobec szyfrowania w repo (SOPS) — tu sekrety zostają w backendzie.
- Wymaga skonfigurowanego dostępu Argo CD do backendu sekretów.