Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GKE Secret Manager連携の進化 K8s Secret と Secret Man...
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Cloud Ace
November 10, 2025
Technology
29
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
GKE Secret Manager連携の進化 K8s Secret と Secret Manager が同期可能に!(Preview)
Cloud Ace
November 10, 2025
More Decks by Cloud Ace
See All by Cloud Ace
今年の最難関と思われるProfessional Security Operations Engineer の概要
cloudace
0
21
Gemini CLI x Google Cloud Document MCP で作る Google Cloud クイズボット
cloudace
0
22
魅力的な LT を作りたい
cloudace
0
17
AIエージェントはqじゃなくてwqしよう
cloudace
0
15
文系からSRE分野に挑戦 ( 新卒 2年目、私がGCP/AWSを学んで 得た気づき)
cloudace
0
54
Gemini を Raspberry Pi で走ら せた経験
cloudace
0
230
ADK / BigQueryで実現する分析エージェントのガバナンス設計
cloudace
0
46
【ガードレール】組織ポリシーで脆弱な設定を防ごう
cloudace
0
160
Cloud RunならDBも含めた ゼロスケールが可能? WordPressをゼロスケールさせた話
cloudace
0
31
Other Decks in Technology
See All in Technology
AIはどのように 組織のアジリティを変えるのか?
junki
4
1.1k
MUSUBI 田中裕一『AIと共に行う「しごとのリデザイン」- スモールバックオフィス編』AI Ops Lab #4
musubi
0
280
現地で盛り上がった WWDC26 Keynote
zozotech
PRO
1
270
アジャイルな経理と Claude Code と 経営の未来
kawaguti
PRO
3
170
コミュニティの有益性 ~JAWS Days 2026 での体験を通して~ / The Benefits of a Community ~Through My Experience at JAWS Days 2026~
seike460
PRO
0
240
【2026年版】 ベクトル検索とEmbedding最前線
mocobeta
23
6.7k
人材育成分科会.pdf
_awache
4
310
事業会社における 機械学習・推薦システム技術の活用事例と必要な能力 / ml-recsys-in-layerx-wantedly-2026
yuya4
0
110
Kiroで書いた 設計書 が AI レビューの 採点基準 になる
ezaki
0
140
水を運ぶ人としてのリーダーシップ
izumii19
3
520
攻撃者視点で考えるDetection Engineering
cryptopeg
3
2k
いまさら聞けない「仕様駆動開発入門」 〜AI活用時代の開発プロセスを考える〜
findy_eventslides
2
170
Featured
See All Featured
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
600
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
320
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
310
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
370
Designing for Timeless Needs
cassininazir
1
260
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
3.5k
Being A Developer After 40
akosma
91
590k
4 Signs Your Business is Dying
shpigford
187
22k
Evolving SEO for Evolving Search Engines
ryanjones
0
220
Designing for Performance
lara
611
70k
Build your cross-platform service in a week with App Engine
jlugia
234
18k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.2k
Transcript
GKE Secret Manager連携の進化 K8s Secret と Secret Manager が同期可能に!(Preview) 2025.10.28
DevSecOps 事業部 髙橋和真 クラウドエース株式会社|(C) Cloud Ace, Inc.
1. 従来のGKEシークレット管理
External Secrets Operator (ESO) External Secrets Operator (ESO) • メリット
• K8s標準のSecretオブジェクトに同期 ◦ 環境変数 (secretKeyRef) で利用可 能 • 設定間隔で自動的に値を同期 • デメリット : • サードパーティ製 ◦ 別途インストール・運用・管理のコス トが発生 3 クラウドエース株式会社|(C) Cloud Ace, Inc.
Secret Manager アドオン (CSI) Secret Manager アドオン • メリット •
GKEマネージド機能で追加コストなし • クラスタのetcdに保存されない(Podのメモ リにしかシークレットがない) • デメリット • ボリューム(ファイル)マウントのみ ◦ 使えるかはアプリによる ◦ 環境変数として利用するには工夫が 必要 • 更新の自動同期がない クラウドエース株式会社|(C) Cloud Ace, Inc. 3
2. Secret Manager と Kubernetes Secretの同期 (Preview)
Secret Manager と Kubernetes Secretの同期(Preview) https://cloud.google.com/secret-manager/docs/sync-k8-secrets
Secret Manager と Kubernetes Secretの同期(Preview) CSI本家の同期機能が GKE にも実装され、従来の方法の良いとこ取りが実現で きるようになります。 •
Secret Managerのシークレットを、Kubernetesの標準的な Secretオブジェクト に同期 • Secret Manager側の変更を自動でGKEクラスタ内の Secretに同期(ローテーション) Secret への同期が可能に これまでESOでしか実現できなかった 「K8s Secretへの同期」と「自動更新」 がGKEマネージド機能 として提供され ます アプリに依存せず利用可能 ファイルマウントだけでなく標準 Secret として作成可能に。アプリに依存なく 環 境変数として利用 できます 運用負荷の軽減 サードパーティ製オペレーターの イン ストールや管理が不要 になり、運用負 荷が大幅に軽減されます クラウドエース株式会社|(C) Cloud Ace, Inc. 5
使用方法 クラスタ作成時にフラグをつける クラウドエース株式会社|(C) Cloud Ace, Inc. 5 gcloud beta container
clusters create-auto CLUSTER_NAME --location=CONTROL_PLANE_LOCATION \ --enable-secret-sync \ --enable-secret-sync-rotation \ --secret-sync-rotation-interval=1m
使用方法 Secret ManagerにアクセスできるSAを用意してリソースを作成する クラウドエース株式会社|(C) Cloud Ace, Inc. 5 apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass metadata: name: SECRET_PROVIDER_CLASS_NAME namespace: NAMESPACE spec: provider: gke parameters: secrets: | - resourceName: "projects/SECRET_PROJECT_ID/secrets/SECRET_ NAME/versions/SECRET_VERSION" path: "FILENAME.txt" - resourceName: "projects/SECRET_PROJECT_ID/secrets/SECRET_ NAME/versions/SECRET_VERSION" path: "FILENAME1.txt" apiVersion: secret-sync.gke.io/v1 kind: SecretSync metadata: name: KUBERNETES_SECRET_NAME namespace: NAMESPACE spec: serviceAccountName: KSA_NAME secretProviderClassName: SECRET_PROVIDER_CLASS_NAME secretObject: type: KUBERNETES_SECRET_TYPE data: - sourcePath: "FILENAME.txt" targetKey: "TARGET_KEY1" - sourcePath: "FILENAME1.txt" targetKey: "TARGET_KEY2"
従来の方法は不要? GAされたら 基本的にGKEのシークレット管理はこれでいいと思っています。 一方で、K8s Secret にはパラメータをbase64でエンコードした値を etcdに保存しているというセキュリ ティ面の課題があります。 なので、より高いセキュリティを維持する場合以下の運用がいいでしょう。 •
GKE Secret Manager 同期 + アプリケーションレイヤのSecret 暗号化 • 従来のSecret Manager アドオンを使いPodのメモリで使用する また、同期の細かい制御(オブジェクトの一部だけ Secret Managerから取った値にする)が必要な場合 External Secret は引き続き必要な可能性があります(未検証) クラウドエース株式会社|(C) Cloud Ace, Inc. 5
3. まとめ
まとめ Secret Manager と Kubernetes Secretの同期ができるようになり、 GKEの運用がさらに楽になる。 GAされたら多くの場面でGKE Secret Managerの同期を利用するの
が良い選択肢となる。 ただ完全に従来の方法から置き換わるわけではない。 クラウドエース株式会社|(C) Cloud Ace, Inc. 7
Thank you. クラウドエース株式会社|(C) Cloud Ace, Inc. 7
SiteGround - Reliable hosting with speed, security, and support you can count on.
cloudace
junki
musubi
zozotech
kawaguti
seike460
mocobeta
_awache
yuya4
ezaki
izumii19
cryptopeg
findy_eventslides
portentint
axbom
reverentgeek
tmiket
cassininazir
garrettdimon
akosma
shpigford
ryanjones
lara
jlugia
danielanewman
