İçeriğe Atla
Rehberler · 10 dk okuma · görüntülenme
100%

Kubernetes Secret Rotasyonu için External Secrets Akışı

Kubernetes ortamlarında secret verisini merkezi kasadan çekip rotasyonu uygulamak için External Secrets tabanlı rehber.

#kubernetes #security #external-secrets #devops #vault
External Secrets operatörü, merkezi sır kasası ve Kubernetes cluster akışını gösteren teknik kapak görseli

Kubernetes içinde sır yönetimi yapılırken en sık görülen hata, uygulama secret’larının doğrudan manifest veya CI değişkenlerinde yaşatılmasıdır. Bu model küçük ortamlarda tolere edilir; ancak ortam sayısı, takım sayısı ve güvenlik gereksinimi arttıkça sürdürülemez hâle gelir. External Secrets yaklaşımı, bu problemi merkezi sır kasası ile cluster içindeki çalışma zamanı arasında kontrollü bir senkronizasyon katmanı kurarak çözer.

External Secrets akışını gösteren şema

External Secrets neden gerekli?

Çünkü Kubernetes Secret nesnesi depolama formatıdır; sır yaşam döngüsü çözümü değildir. Aşağıdaki ihtiyaçlar büyüdükçe harici kaynak şart olur:

  • Düzenli rotasyon
  • Ortam bazlı farklı değerler
  • Erişim denetimi
  • Audit kaydı
  • Secret kaynağını uygulama manifestinden ayırma

Bu noktada External Secrets Operator veya benzeri desenler anlamlılaşır.

Temel akış nasıl işler?

Model basittir:

  1. Uygulama ekibi cluster içinde ExternalSecret tanımı oluşturur.
  2. Operatör merkezi sır kasasına yetkili kimlikle bağlanır.
  3. İlgili değer Kubernetes Secret nesnesine senkronize edilir.
  4. Secret değiştiğinde uygulama yeniden yüklenir veya rollout tetiklenir.

Bu modelin önemli avantajı, uygulama manifestinin sırrın kendisini değil referansını taşımasıdır.

apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: app-db-secret
spec:
  refreshInterval: 1h
  secretStoreRef:
    name: vault-prod
    kind: ClusterSecretStore

Hangi tasarım kararları kritik?

Başarılı bir kurulum için şu konular net olmalıdır:

  • Hangi takım hangi secret yoluna erişebilir?
  • Ortamlar arası ayrım nasıl yapılır?
  • Refresh aralığı neye göre seçilir?
  • Uygulama yeniden yükleme mekanizması nedir?
  • Audit verisi nerede toplanır?

Bu kararlar verilmeden operatör kurmak, yalnızca secret kopyalama işini otomatikleştirir.

Sonuç

Kubernetes secret rotasyonu için External Secrets akışı, sır yönetimini manifest seviyesinden yaşam döngüsü seviyesine taşır. Merkezi kasa, kontrollü erişim ve düzenli senkronizasyon ile daha güvenli bir platform modeli kurulur. Özellikle çoklu ortam, çoklu takım ve yüksek denetim gerektiren kurumsal yapılarda bu yaklaşım ciddi operasyonel sadelik sağlar.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

Yeni yazılardan haberdar olun

Haftada bir yeni içerikler ve kaynaklar doğrudan e-postanıza gelsin.

Spam yok. Yalnızca yeni ve önemli içerikler için e-posta gönderilir.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Rehberler

Headscale ile Kurumsal Yönetim Ağı Overlay Tasarımı

Dağınık sunucu ve yönetim uçlarına kontrollü erişim sağlamak için Headscale tabanlı yönetim ağı overlay rehberi.

Rehberler

Nuclei ile İç Varlıklarda Sürekli Zafiyet Doğrulama

İç ağdaki servisleri düşük gürültüyle tarayıp doğrulanmış bulguları operasyon akışına bağlamak için pratik Nuclei yaklaşımı.

Rehberler

Syft ve Grype ile SBOM Tabanlı İmaj Kabul Kapısı

Container imajlarını yalnızca CVE listesiyle değil, bileşen envanteri ve politika eşiğiyle kabul etmek için pratik rehber.