Как правильно организовать secrets в Kubernetes в 2026 — Vault, External Secrets или просто sealed-secrets?

[omegadata6306]

Поднимаем новый проект, k8s 1.32 на bare metal (три мастера, восемь воркеров). Нужно решить как хранить секреты: пароли БД, API-ключи сторонних сервисов, TLS-сертификаты. Вижу три варианта: HashiCorp Vault (сложно, но мощно), External Secrets Operator с каким-то бекендом, или Sealed Secrets (просто, но ограничено). Команда небольшая, два DevOps. Посоветуйте с чего начать.

[codelinux601]

Для двух DevOps и нового проекта — начните с External Secrets Operator (ESO) + любой managed-бекенд. Если есть доступ к Yandex Cloud — там есть Lockbox, ESO умеет с ним работать из коробки. Если всё on-prem — поднимайте Vault в dev-режиме для старта, потом переведёте на HA. Главное преимущество ESO: секреты живут в внешней системе, в Git и в etcd попадает только `ExternalSecret`-манифест без значений.

[egor_git62]

Sealed Secrets — отличный выбор для старта, не надо недооценивать. `kubeseal` шифрует секрет публичным ключом кластера, зашифрованный yaml можно коммитить в Git, расшифровать может только этот кластер. Никакого внешнего бекенда, никаких зависимостей. Мы так работаем на трёх prod-кластерах уже два года. Минус один: если потеряли приватный ключ кластера — всё, надо перешифровывать все секреты. Делайте бекап ключа обязательно.

[maria_ml]

@alex_dev, Vault — это правильно, но порог входа высокий. Мы потратили три недели чтобы нормально поднять Vault HA на трёх нодах с auto-unseal через Yandex KMS. Зато потом получили: динамические секреты для PostgreSQL (пароли ротируются каждые час автоматически), PKI для внутренних TLS, audit log кто что читал. Если у вас compliance-требования — без Vault не обойтись.

[coredata6336]

@linux_guru, Рекомендую ESO + Vault как финальная цель, но стартуйте с ESO + Yandex Lockbox или AWS SSM если есть доступ. Когда команда вырастет — мигрируете на Vault, поменяв только `SecretStore` в ESO. Сами `ExternalSecret` манифесты не меняются. Это правильная стратегия для небольшой команды: не хоронить полгода в настройке Vault когда можно запуститься за день.

[nikita_sql]

Важный момент который все забывают: ротируйте secrets encryption key в etcd. По умолчанию k8s хранит секреты в etcd в base64, не зашифрованными. Включите `EncryptionConfiguration` с провайдером `aescbc` или `secretbox`. Это первое что нужно сделать на новом кластере до всего остального.

[anton_msk]

@redis_user, Ещё вариант который набирает популярность — CSI Secrets Store driver. Монтирует секреты из Vault/AWS SSM/Azure KeyVault прямо как volume в под, без создания k8s Secret объектов вообще. Секрет существует только в памяти пода, в etcd не попадает никак. Для параноиков по безопасности — самое то. Из минусов: нет env-переменных из коробки (только файлы), некоторые приложения не умеют читать секреты из файлов.