Gestionar secretos en Kubernetes es un desafío operativo crítico. Esta guía explora los principales enfoques: almacenar secretos en etcd (el predeterminado, pero con cifrado en reposo), usar Sealed Secrets con kubeseal y ArgoCD para flujos de trabajo GitOps, aprovechar External Secrets Operator (ESO) para sincronizar secretos de proveedores externos, integrar HashiCorp Vault para una plataforma de gestión de secretos dedicada y usar controladores CSI para montar secretos directamente desde sistemas de almacenamiento. Cada enfoque tiene ventajas y desventajas en términos de seguridad, complejidad y sobrecarga operativa. Por ejemplo, Sealed Secrets permite GitOps seguro pero agrega administración de claves de cifrado, mientras que Vault proporciona un control de acceso sólido pero requiere infraestructura adicional. Comprender estas opciones es esencial para construir una plataforma Kubernetes segura y escalable. Esta comparación ayuda a los equipos a elegir la estrategia correcta según sus requisitos de seguridad, experiencia del equipo y herramientas existentes.
Este artículo proporciona una descripción general completa de las soluciones de gestión de secretos de Kubernetes, que cubre etcd, Sealed Secrets (kubeseal, ArgoCD), External Secrets Operator (ESO), HashiCorp Vault y controladores CSI. Compara sus arquitecturas, casos de uso e implicaciones de seguridad, lo que lo convierte en un recurso valioso para los equipos de DevOps y seguridad. El tema es perenne y comercialmente crítico para cualquier organización que ejecute Kubernetes en producción.