Ook interessant Op zoek naar AI-certificering? Bezoek ons zusje-platform Route-to-AI.com
⏱ 5 min. lezen External Secrets Operator

External Secrets Operator: externe secrets synchroniseren naar Kubernetes

Hoe koppel je Vault, AWS Secrets Manager of Azure Key Vault aan Kubernetes zonder gevoelige waarden handmatig te kopiëren? De External Secrets Operator houdt native Kubernetes Secrets automatisch gesynchroniseerd.

Kubernetes Secrets zijn de native manier om gevoelige data aan pods te leveren, maar veel organisaties beheren hun geheimen al centraal in een dedicated secrets manager zoals Vault, AWS Secrets Manager of Azure Key Vault. De External Secrets Operator (ESO) overbrugt dat gat: hij haalt geheimen op uit die externe bron en zet ze automatisch om in gewone Kubernetes Secrets, zodat applicaties niets hoeven te weten van de externe store.

Externe secret store Vault, AWS Secrets Manager, Azure Key Vault External Secrets Operator SecretStore + ExternalSecret Kubernetes Secret native, door pods te gebruiken Periodieke synchronisatie: wijzigingen in de externe store landen automatisch in het cluster

De twee kernobjecten

  • SecretStore / ClusterSecretStore — definieert de verbinding met een externe secrets manager: welke provider, welke authenticatiemethode, en (bij ClusterSecretStore) clusterbreed herbruikbaar in plaats van per namespace.
  • ExternalSecret — specificeert welk geheim uit de externe store opgehaald moet worden, hoe vaak (refreshInterval), en onder welke naam dit als native Kubernetes Secret moet verschijnen.

Waarom niet gewoon rechtstreeks uit de externe store lezen?

Applicaties zouden in theorie rechtstreeks met de API van Vault of AWS Secrets Manager kunnen praten, maar dat vereist dat elke applicatie de juiste SDK, authenticatielogica en foutafhandeling voor die specifieke provider implementeert. Door ESO ertussen te zetten, blijft de applicatie zelf eenvoudig: hij leest gewoon een standaard Kubernetes Secret, terwijl ESO de complexiteit van de externe koppeling afhandelt — en de provider is te wisselen zonder de applicatie aan te passen.

Synchronisatie, geen eenmalige kopie

Het cruciale verschil met een eenmalige export is dat ESO periodiek (op basis van refreshInterval) opnieuw controleert of de waarde in de externe store is gewijzigd, en de Kubernetes Secret dan automatisch bijwerkt. Wijzig je een wachtwoord in Vault, dan stroomt dat vanzelf door naar het cluster, zonder handmatige tussenkomst.

Examentip: Let op: als een applicatie de gewijzigde Secret-waarde wil gebruiken, moet de pod deze doorgaans wel opnieuw inlezen (bijvoorbeeld via een herstart of een reload-mechanisme) — ESO synchroniseert de Secret zelf, maar dwingt niet automatisch een applicatie-herstart af.