Secrets Management: HashiCorp Vault in Kubernetes integrieren

Das Problem mit Kubernetes Secrets

Kubernetes Secrets sind lediglich Base64-kodiert — wer Zugriff auf den API-Server hat, kann sie im Klartext lesen. Für sensible Daten wie Datenbank-Passwörter, API-Keys und TLS-Zertifikate brauchen Sie mehr.

Warum HashiCorp Vault?

• Verschlüsselung: Secrets werden at-rest und in-transit verschlüsselt — nicht nur kodiert.
• Dynamic Secrets: Vault kann temporäre Datenbank-Credentials on-the-fly generieren — jeder Pod bekommt eigene Zugangsdaten.
• Audit Log: Jeder Zugriff auf ein Secret wird protokolliert — unverzichtbar für Compliance.
• Rotation: Automatische Secret-Rotation ohne Downtime oder manuelle Intervention.

Integration mit Kubernetes

• Vault Agent Injector: Ein Sidecar-Container, der Secrets automatisch in den Pod injiziert — keine Änderung am Application Code nötig.
• CSI Driver: Vault Secrets als Volumes mounten — nativer Kubernetes-Ansatz über den Secrets Store CSI Driver.
• External Secrets Operator: Synchronisiert Vault Secrets als native Kubernetes Secrets — ideal für Legacy-Anwendungen.

Unsere Architektur

Bei devRocks setzen wir Vault mit dem CSI Driver ein. Vault läuft als HA-Cluster mit Raft Storage, authentifiziert Pods über Kubernetes Service Accounts und rotiert Datenbank-Credentials alle 24 Stunden automatisch.