← Katalog
E I A C

Argo CD Vault Plugin

Security-as-Code

Wstrzykiwanie sekretów do manifestów Kubernetes w GitOps.

★ 970 Apache-2.0 #security#secrets#gitops#kubernetes

Argo CD Vault Plugin rozwiązuje problem sekretów w GitOps: w repo trzymasz manifesty z placeholderami zamiast wartości, a wtyczka podczas synchronizacji pobiera prawdziwe sekrety z backendu (Vault, OpenBao, menedżery chmurowe) i wstrzykuje je do zasobów Kubernetes. Dzięki temu sekrety nigdy nie lądują w Git, a deklaratywny model Argo CD pozostaje nienaruszony.

Kiedy używać

  • Robisz GitOps z Argo CD i potrzebujesz sekretów bez trzymania ich w repo.
  • Masz już backend sekretów (Vault/OpenBao/chmura) jako źródło prawdy.
  • Chcesz placeholdery w manifestach zamiast zaszyfrowanych wartości.

Przykład użycia

# manifest w repo — placeholder zamiast wartości
apiVersion: v1
kind: Secret
metadata: { name: db }
stringData:
  password: <path:secret/data/eiac/db#password>

Przy synchronizacji wtyczka podstawia wartość z Vaulta.

Warto wiedzieć

  • Alternatywa wobec szyfrowania w repo (SOPS) — tu sekrety zostają w backendzie.
  • Wymaga skonfigurowanego dostępu Argo CD do backendu sekretów.