External SecretsのさくらProvider初期実装を担当しています

Takuto Nagami X: @logica0419 GitHub: @logica0419 External SecretsのさくらProvider 初期実装を
担当しています

自己紹介 • Takuto Nagami (logica) • 千葉工業大学情報科学部情報ネットワーク学科 4年
• ネットワークコンテンツ研究会所属 ◦ 数人の自宅サーバーをVPNで繋いでクラウド基盤作ろうとしてます • CNDS本編では、CiliumというCNIに次のマイナーバージョンで入る新機能についてLTをしました

CNDS2025 本編でもLT登壇してました

さくら「13の新機能を追加しました」 • 長野さんのお話で出てきましたね！

シークレットマネージャ • ありがとうございます！！！！！👏👏👏👏👏👏👏👏 ◦ ICTSCという学生向けIT大会でさくらのクラウド上にK8sクラスタを建てているので、とても嬉しい • これでさくら上に機密情報を移せる！

シークレット管理サービスとK8sを繋ぐ • アプリケーションから直接アクセス: 面倒 & 拡張不可 • 取ってきた情報を、K8sのSecretに変換して使いたい ◦ この需要に応えるのがExternal
Secrets Operator 出典: https://external-secrets.io/

External Secrets Operator • ClusterSecretStore / SecretStoreを作成 ◦ 任意のProvider (使いたい
管理サービス) を指定 • ExternalSecretを作成 ◦ SecretStoreから機密情報を取ってきて K8sのSecretを自動生成

External Secretsでさくらを使いたい • External Secretsのユーザーによる拡張機構は貧弱 ◦ WebhookProvider ▪ Webhookサーバーに対してシークレットの読み書きを行う
◦ それ以外はほぼ用意されてない • 新しいクラウドサービスを使いたければ、Providerを公式で提供すべきという発想だと思う ◦ Providerを作ってExternal Secretsに入れる必要が

長野さんに相談だ • logica: さくら内でProvider作成する予定あります？ • 長野さん: 今のところ無い、サービス開発に注力したい • logica: じゃあメンテナンスのことは後々相談するとして
僕が初期実装やるのはどうですか？ • 長野さん: ぜひやってください 👌 という流れで僕が初期実装をやることになりました

ひとまずIssueを建てる • External Secretsのメンテナの方も「Providerをメンテナンスする人が付けられればいいよ」とのこと

Providerの構造 • apis パッケージ ◦ さくらのシークレットマネージャ向け設定を追加 • esv1.Provider インターフェース ◦
apiで定義した設定から、SecretsClientを作成する ◦ これをExternal Secretsのコア部分に登録 • esv1.SecretsClient インターフェース ◦ 実際にシークレットを読み書きするこんな感じで、かなりシンプルな仕組み

現在の進捗 • apis パッケージ ← 完了 ◦ さくらのシークレットマネージャ向け設定を追加 • esv1.Provider
インターフェース ← ほぼ完了 ◦ apiで定義した設定から、SecretStoreを作成する ◦ これをExternal Secretsのコア部分に登録 • esv1.SecretsClient インターフェース ← 要相談段階 ◦ 実際にシークレットを読み書きする External Secretsのみに依存している部分はほぼできた

SecretStore - さくらに依存する難しさ • シークレットマネージャはつい最近β版が提供開始で、 GoのSDKがまだ出ていない ◦ SDKを優先実装してもらう？ ◦ External
Secrets側で仮のSDKを用意する？ ◦ HTTPのエンドポイントを直接叩く？ • さくらさんのAPI利用の方針に従いたいので、ちゃんとさくらの社員さんと実装方針を共有しておきたい ◦ 来週MTGをするので、本格的な実装はそこからかな

夏までには完成させたいと思っています！応援よろしくお願いします実装ができたら、是非使ってみて下さい

ありがとうございました今後の進捗に乞うご期待！

External SecretsのさくらProvider初期実装を担当しています

External SecretsのさくらProvider初期実装を担当しています

Takuto Nagami

More Decks by Takuto Nagami

Other Decks in Programming

Featured

Transcript

Takuto Nagami X: @logica0419 GitHub: @logica0419 External SecretsのさくらProvider 初期実装を

自己紹介 • Takuto Nagami (logica) • 千葉工業大学情報科学部情報ネットワーク学科 4年

CNDS2025 本編でもLT登壇してました

さくら「13の新機能を追加しました」 • 長野さんのお話で出てきましたね！

シークレット管理サービスとK8sを繋ぐ • アプリケーションから直接アクセス: 面倒 & 拡張不可 • 取ってきた情報を、K8sのSecretに変換して使いたい ◦ この需要に応えるのがExternal

External Secrets Operator • ClusterSecretStore / SecretStoreを作成 ◦ 任意のProvider (使いたい

External Secretsでさくらを使いたい • External Secretsのユーザーによる拡張機構は貧弱 ◦ WebhookProvider ▪ Webhookサーバーに対してシークレットの読み書きを行う

長野さんに相談だ • logica: さくら内でProvider作成する予定あります？ • 長野さん: 今のところ無い、サービス開発に注力したい • logica: じゃあメンテナンスのことは後々相談するとして

ひとまずIssueを建てる • External Secretsのメンテナの方も「Providerをメンテナンスする人が付けられればいいよ」とのこと

Providerの構造 • apis パッケージ ◦ さくらのシークレットマネージャ向け設定を追加 • esv1.Provider インターフェース ◦

現在の進捗 • apis パッケージ ← 完了 ◦ さくらのシークレットマネージャ向け設定を追加 • esv1.Provider

SecretStore - さくらに依存する難しさ • シークレットマネージャはつい最近β版が提供開始で、 GoのSDKがまだ出ていない ◦ SDKを優先実装してもらう？ ◦ External

夏までには完成させたいと思っています！応援よろしくお願いします実装ができたら、是非使ってみて下さい

ありがとうございました今後の進捗に乞うご期待！