Upgrade to Pro — share decks privately, control downloads, hide ads and more …

k8sのシークレット管理をちょっとだけ楽にした話

Avatar for muso muso
June 06, 2026
Technology
100
0

 k8sのシークレット管理をちょっとだけ楽にした話

Road to SRE NEXT 2026 @神戸の発表資料

Avatar for muso

muso

June 06, 2026

More Decks by muso

See All by muso
ALB「証明書上限問題」からの脱却
Avatar for muso nishiokashinji
0
360
Railsアプリの画像配信最適化 - Imgproxyを活用したパフォーマンス改善事例
Avatar for muso nishiokashinji
0
45

Other Decks in Technology

See All in Technology
Microsoft Build Keynoteふりかえり
Avatar for tomokusaba tomokusaba
0
120
Ruby::Boxでできること、Refinementsでできること
Avatar for Tomohiro Hashidate joker1007
3
410
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
360
ポケモンの型をTypeScriptの型システムで表現してみた
Avatar for subroh_0508 subroh0508
0
360
Bucharest Tech Week 2026 - Reinventing testing practices in the AI era
Avatar for Eric Deandrea edeandrea
PRO
0
120
Oracle Cloud Infrastructure IaaS 新機能アップデート 2026/3 - 2026/5
Avatar for oracle4engineer oracle4engineer
PRO
1
240
Claude Code の Sandbox 機能を Anthropic Sandbox Runtime(srt) で試そう!/lets-play-anthropic-sandbox-runtime
Avatar for tomoki10 tomoki10
1
460
データ基盤をDataformで整えた話 〜 開発環境を添えて 〜
Avatar for Takanobu Nozawa takapy
0
130
新しいVibe Codingと”自走”について
Avatar for watany watany
5
270
Disciplined Vibes: Scaling AI-Assisted Engineering
Avatar for Sheharyar Naseer sheharyar
0
110
Amazon Bedrock AgentCore ワークショップ JAWS UG TOHOKU / amazon-bedrock-agentcore-workshop-jawsug-tohoku-2026
Avatar for geeawa gawa
9
560
実装は速くなった、レビューはどうする? ― 自身のレビューをAIで再現させるサーヴァントエンジニアリングのすゝめ / Implementation got faster. So what about reviews? — An invitation to Servant Engineering: Recreating your own code reviews with AI
Avatar for nrs nrslib
8
4.5k

Featured

See All Featured
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
200
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
65
56k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
370
Google's AI Overviews - The New Search
Avatar for Barry Adams badams
0
1k
Designing for Timeless Needs
Avatar for Cassini Nazir cassininazir
1
250
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
200
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
140
How to make the Groovebox
Avatar for あそなす asonas
2
2.2k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.9k
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
1
200
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
270
14k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
200

Transcript

  1. k8s のシークレット管理を ちょっとだけ楽にした話 Road to SRE NEXT 2026 @ 神戸

    2026/6/5

  2. 自己紹介 無双(@nishi_okashi ) SRE チームのエンジニア 加古川生まれ、稲美町在住 AKASHI.rb の管理人 Super Ramen

    Engineer

  3. 今日話すこと k8s(EKS) を運用して約2 年 Secret の管理につらみがあった それをどうやって解決したかを話します

  4. 前提のはなし(弊社のCI/CD ) GitOps を採用 (Flux / ArgoCD) システムの設定ファイルをすべてGit リポジトリ(GitHub 等)で

    管理 そのため、Secret もGit に置く必要がある

  5. Secret のマニフェスト 中身はBase64 エンコードされているだけ apiVersion: v1 kind: Secret metadata: name:

    db-credentials type: Opaque data: username: YWRtaW4= # admin password: cGFzc3dvcmQxMjM= # password123

  6. 危険が危ない

  7. はじめは暗号化して管理 SOPS: Secrets OPerationS 「キー」はそのまま、 「値」だけを暗号化できるツール AWS KMS などで暗号化できる GitOps

    ツールと連携して自動復号

  8. 暗号化したSecret のマニフェスト apiVersion: v1 kind: Secret metadata: name: db-credentials type:

    Opaque data: username: ENC[AES256_GCM,data:k8vQ==,iv:9Hx...,tag:Lm2...,type:str] password: ENC[AES256_GCM,data:pZ3rT9w==,iv:Qa1...,tag:Rb7...,type:str] sops: kms: - arn: arn:aws:kms:ap-northeast-1:123456789012:key/xxxx-xxxx encrypted_regex: ^(data|stringData)$

  9. SOPS のつらみ ①:登録がめんどくさ い 1. パスワードを考える 2. 値ごとにBase64 へ変換する echo

    -n 'password123' | base64 3. Secret のマニフェストに手で書き込む 4. 暗号化する sops encrypt -i secret.sops.yaml

  10. できれば平文をシュッと登録したい

  11. SOPS のつらみ ②:結局Git に機密情報 が残る 暗号化しているとはいえ、機密情報をGit に置くことに変わりはな い 暗号化前に誤ってpush するリスクも残る

  12. やっぱり機密情報はGit 外で管理した い、 、 、

  13. 取り込み役:ESO 外部ストアの値からk8s Secret を作るツール(External Secrets Operator ) どこからSecret を取ってくるかを書くだけ ESO

    が裏でk8s Secret を作成・同期

  14. ExternalSecret のマニフェスト(抜粋) spec: refreshInterval: "1m" secretStoreRef: name: openbao kind: SecretStore

    target: name: db-credentials data: - secretKey: password remoteRef: key: database/db-credentials property: password

  15. 保管先:OpenBao Git 外のSecret ストアとして採用 HashiCorp Vault からフォークされ、互換性をもつOSS 機密情報を一元管理するSecret ストア

  16. 実際の画面

  17. なぜOpenBao ? Secret 専用ツールなので、開発者は値を入れるだけ(AWS/GCP の マネコン操作が不要) セルフホストのOSS なので、Secret 数に応じた従量課金がない 特定のクラウドベンダーにロックインされない(マルチクラウド・

    移行耐性)

  18. まとめ Before 登録が手間(Base64 化 → 手書き → 暗号化) 暗号化してもGit に機密情報が残る

    After :OpenBao で誰でも簡単に登録できる 登録の手間が減った(toil 削減) Git に機密情報が載らない(誤push の心配もなし) 対価として、Secret ストアの信頼性は自分たちで担保する

  19. ご清聴ありがとうございました