2026 में सर्वश्रेष्ठ कुबेरनेट्स रहस्य प्रबंधन उपकरण: वॉल्ट, ईएसओ, सीलबंद रहस्य और बहुत कुछ

प्रत्येक Kubernetes क्लस्टर एक अंतर्निहित गुप्त ऑब्जेक्ट के साथ आता है। यह सुरक्षा की तरह दिखता है. यह सुरक्षा जैसा महसूस होता है. यह सुरक्षा नहीं है.

कुबेरनेट्स सीक्रेट, डिफ़ॉल्ट रूप से, केवल एक बेस 64-एन्कोडेड स्ट्रिंग है जो आदि में संग्रहीत है - क्लस्टर एक्सेस वाले किसी भी व्यक्ति द्वारा पढ़ने योग्य और एक-लाइनर के साथ तुच्छ रूप से डिकोड करने योग्य: echo "c2VjcmV0" | बेस64-डी। जब तक आपने आराम से एन्क्रिप्शन को स्पष्ट रूप से सक्षम नहीं किया है (और अधिकांश टीमों ने नहीं किया है), आपके डेटाबेस पासवर्ड, एपीआई टोकन और टीएलएस निजी कुंजी आपके क्लस्टर के नियंत्रण विमान डेटास्टोर में अनएन्क्रिप्टेड बैठे हैं। Git के लिए एक रहस्य युक्त Kubernetes मेनिफ़ेस्ट प्रतिबद्ध करें, और वह क्रेडेंशियल आपके रिपॉजिटरी के इतिहास में हमेशा के लिए रहता है।

यह वह समस्या है जिसे हल करने के लिए रहस्य प्रबंधन उपकरणों की एक नई पीढ़ी उभरी है - और 2026 में, पारिस्थितिकी तंत्र काफी परिपक्व हो गया है। यह मार्गदर्शिका कुबेरनेट्स वातावरण में रहस्यों को प्रबंधित करने के लिए छह सबसे महत्वपूर्ण उपकरणों को शामिल करती है: वे क्या करते हैं, वे क्या नहीं करते हैं, और कौन सा आपकी टीम के परिपक्वता स्तर पर फिट बैठता है।

संबंधित रीडिंग: यदि आप अपनी सीआई/सीडी पाइपलाइन के माध्यम से लीक हो रहे रहस्यों के बारे में चिंतित हैं, तो हमारा सर्वोत्तम सीआई/सीडी पाइपलाइन टूल राउंडअप देखें। व्यापक कंटेनर सुरक्षा चित्र के लिए, हमारी भेद्यता स्कैनिंग टूल गाइड देखें।

कुबेरनेट्स डिफ़ॉल्ट रहस्य क्यों कम हो जाते हैं

टूल में गोता लगाने से पहले, यह स्पष्ट होना जरूरी है कि कुबेरनेट्स सीक्रेट्स में क्या कमी है - क्योंकि अंतर को समझने से आप सही समाधान चुन सकते हैं।

डिफ़ॉल्ट रूप से आराम पर कोई एन्क्रिप्शन नहीं। आदि कुबेरनेट्स सीक्रेट्स को बेस64 के रूप में संग्रहीत करता है, एन्क्रिप्टेड नहीं। [एन्क्रिप्शन एट रेस्ट] (https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/) को सक्षम करना एक क्लस्टर-स्तरीय कॉन्फ़िगरेशन चरण है जिसे प्रबंधित Kubernetes प्रदाता (EKS, GKE, AKE) अलग तरीके से संभालते हैं, और कई स्व-प्रबंधित क्लस्टर इसे पूरी तरह से छोड़ देते हैं।

कोई गुप्त रोटेशन नहीं। कुबेरनेट्स सीक्रेट के लिए यह जानने के लिए कोई अंतर्निहित तंत्र नहीं है कि इसकी बैकिंग क्रेडेंशियल बदल गई है। आप डेटाबेस पासवर्ड को बाहरी रूप से घुमाते हैं, और जब तक आप मैन्युअल रूप से सीक्रेट को अपडेट नहीं करते हैं और प्रभावित पॉड्स को पुनरारंभ नहीं करते हैं, तब तक आपके पॉड पुराने पासवर्ड का उपयोग करते रहते हैं।

गुप्त पहुंच के लिए कोई ऑडिट लॉग नहीं। मानक कुबेरनेट्स ऑडिट लॉगिंग गुप्त ऑब्जेक्ट संशोधनों को रिकॉर्ड करता है, लेकिन अधिकांश कॉन्फ़िगरेशन व्यक्तिगत रीड लॉग नहीं करते हैं - जिसका अर्थ है कि आप जवाब नहीं दे सकते हैं “किस सेवा ने इस टोकन तक पहुंच बनाई और कब?”

डिज़ाइन द्वारा गिट-शत्रुतापूर्ण। मानक सलाह है “कभी भी गिट को रहस्य न बताएं।” लेकिन GitOps की दुनिया में जहां हर चीज़-जैसा-कोड ही लक्ष्य है, इसे बनाए रखना एक दर्दनाक अपवाद है।

आरबीएसी एक कुंद उपकरण के रूप में। कुबेरनेट्स आरबीएसी आपको नेमस्पेस स्तर पर गुप्त वस्तुओं तक पहुंच प्रदान करने या अस्वीकार करने की सुविधा देता है। यह व्यक्त नहीं कर सकता है कि “सेवा ए गुप्त एक्स पढ़ सकता है लेकिन गुप्त वाई नहीं,” या “यह रहस्य 24 घंटों में समाप्त हो जाता है।”

इनमें से कोई भी कुबेरनेट्स को छोड़ने का कारण नहीं है - ये इसके शीर्ष पर समर्पित रहस्य प्रबंधन टूलींग का उपयोग करने के कारण हैं।

टीएल;डीआर - फ़ीचर तुलना

औजार	आराम पर एन्क्रिप्शन	गतिशील रहस्य	ऑडिट लॉग	K8s मूल निवासी	बहु बादल	मूल्य निर्धारण
हाशीकॉर्प वॉल्ट	✅	✅	✅	⚠️ (एजेंट के माध्यम से)	✅	ओएसएस मुफ़्त / एचसीपी भुगतान
बाहरी रहस्य संचालक	✅ (बैकएंड के माध्यम से)	✅ (बैकएंड के माध्यम से)	✅ (बैकएंड के माध्यम से)	✅	✅	मुफ़्त/ओएसएस
सीलबंद रहस्य	✅	❌	❌	✅	❌	मुफ़्त/ओएसएस
AWS रहस्य प्रबंधक	✅	✅	✅	⚠️ (ईएसओ/सीएसआई के माध्यम से)	❌ (केवल AWS)	प्रति-गुप्त मूल्य निर्धारण
डॉपलर	✅	❌	✅	✅ (ऑपरेटर)	✅	निःशुल्क → सशुल्क स्तर
अनिश्चित	✅	✅	✅	✅ (ऑपरेटर)	✅	ओएसएस/क्लाउड भुगतान

⚠️ = अतिरिक्त घटकों की आवश्यकता है

1. हाशीकॉर्प वॉल्ट - एंटरप्राइज़ रहस्यों के लिए स्वर्ण मानक

हाशीकॉर्प वॉल्ट वह बेंचमार्क है जिसके विरुद्ध हर दूसरे रहस्य प्रबंधन उपकरण को मापा जाता है। लगभग एक दशक तक उद्यम परिवेश में इसका परीक्षण किया गया है, और इसका फीचर सेट उस गहराई को दर्शाता है।

वॉल्ट की मुख्य क्षमता गतिशील रहस्य है - क्रेडेंशियल जो ऑन-डिमांड उत्पन्न होते हैं और स्वचालित रूप से समाप्त हो जाते हैं। एक स्थिर PostgreSQL पासवर्ड संग्रहीत करने के बजाय, वॉल्ट प्रत्येक अनुरोधित सेवा के लिए एक अद्वितीय उपयोगकर्ता नाम/पासवर्ड जोड़ी उत्पन्न करता है, जो एक कॉन्फ़िगर करने योग्य लीज अवधि (उदाहरण के लिए, एक घंटा) के लिए मान्य है। जब पट्टा समाप्त हो जाता है, तो क्रेडेंशियल रद्द कर दिया जाता है। यह क्रेडेंशियल फैलाव की संपूर्ण श्रेणियों को समाप्त कर देता है और उल्लंघन नियंत्रण को नाटकीय रूप से आसान बना देता है।

कुबेरनेट्स के लिए, वॉल्ट एजेंट इंजेक्टर या वॉल्ट सीक्रेट्स ऑपरेटर एकीकरण पथ हैं। इंजेक्टर एक परिवर्तनशील वेबहुक के रूप में चलता है जो स्वचालित रूप से आपके पॉड्स में एक वॉल्ट एजेंट को साइडकार करता है, जो पॉड के कुबेरनेट्स सेवा खाते का उपयोग करके वॉल्ट को प्रमाणित करता है और साझा इन-मेमोरी वॉल्यूम में रहस्य लिखता है। वॉल्ट सीक्रेट्स ऑपरेटर (वीएसओ), नया दृष्टिकोण, वॉल्ट सीक्रेट्स को देशी कुबेरनेट्स सीक्रेट ऑब्जेक्ट्स में सिंक करता है - ऑपरेटरों के लिए अधिक परिचित, आदि में संक्षेप में मौजूद रहस्यों की कीमत पर।

वॉल्ट के गुप्त इंजन एक प्रभावशाली रेंज को कवर करते हैं:

डेटाबेस क्रेडेंशियल (PostgreSQL, MySQL, MongoDB, और अधिक)
AWS, GCP, Azure डायनामिक क्रेडेंशियल
पीकेआई और टीएलएस प्रमाणपत्र निर्माण
एसएसएच प्रमाणपत्र पर हस्ताक्षर
कुबेरनेट्स सेवा खाता टोकन

वॉल्ट क्या अच्छा करता है: गतिशील क्रेडेंशियल्स, सूक्ष्म पहुंच नीतियां, एक व्यापक ऑडिट लॉग और एक परिपक्व प्लगइन पारिस्थितिकी तंत्र। यदि आपको अनुपालन-ग्रेड गुप्त प्रबंधन की आवश्यकता है जिसमें कौन-कब-कब तक पहुंच है, इसकी पूरी जानकारी हो, तो वॉल्ट अक्सर एकमात्र उचित विकल्प होता है।

क्या ध्यान रखें: वॉल्ट में परिचालन जटिलता है। इसे उच्च-उपलब्धता मोड में चलाने के लिए स्टोरेज बैकएंड (रफ़्ट अब अनुशंसित विकल्प है), सील खोलने की प्रक्रिया और अपग्रेड पथ पर सावधानीपूर्वक ध्यान देने की आवश्यकता है। सीखने की अवस्था वास्तविक है. प्लेटफ़ॉर्म इंजीनियरिंग समय के लिए बजट.

मूल्य निर्धारण: ओपन-सोर्स संस्करण मुफ़्त है और अधिकांश ज़रूरतों को पूरा करता है। हाशीकॉर्प क्लाउड प्लेटफ़ॉर्म (एचसीपी) वॉल्ट क्लस्टर घंटों और गुप्त संचालन के आधार पर मूल्य निर्धारण के साथ प्रबंधित पेशकश है। 2023 से बीएसएल लाइसेंस परिवर्तन ने टेराफॉर्म के लिए ओपनटोफू फोर्क का नेतृत्व किया, लेकिन वॉल्ट का फोर्क समकक्ष (ओपनबाओ) अभी भी परिपक्व हो रहा है।

📚 अनुशंसित पाठ: हैकिंग कुबेरनेट्स एंड्रयू मार्टिन और माइकल हॉसेनब्लास द्वारा - गुप्त घुसपैठ परिदृश्यों सहित कुबेरनेट्स हमले की सतहों का उत्कृष्ट कवरेज।

2. एक्सटर्नल सीक्रेट ऑपरेटर (ESO) - K8s-नेटिव इंटीग्रेशन लेयर

एक्सटर्नल सीक्रेट्स ऑपरेटर मौलिक रूप से अलग वास्तुशिल्प रुख अपनाता है: खुद एक सीक्रेट्स स्टोर होने के बजाय, यह कुबेरनेट्स और आपके पास पहले से मौजूद किसी भी बाहरी स्टोर के बीच एक पुल है। ईएसओ एडब्ल्यूएस सीक्रेट मैनेजर, जीसीपी सीक्रेट मैनेजर, एज़्योर की वॉल्ट, हाशीकॉर्प वॉल्ट, 1पासवर्ड, डॉपलर और अन्य बैकएंड की बढ़ती सूची के रहस्यों को देशी कुबेरनेट्स सीक्रेट ऑब्जेक्ट में सिंक करता है।

मुख्य अमूर्तन एक्सटर्नलसेक्रेट कस्टम संसाधन है:

apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: database-credentials
spec:
  refreshInterval: 1h
  secretStoreRef:
    name: aws-secrets-manager
    kind: ClusterSecretStore
  target:
    name: db-creds
  data:
    - secretKey: password
      remoteRef:
        key: production/db/password

ईएसओ इस संसाधन को देखता है, एडब्ल्यूएस सीक्रेट मैनेजर (या कहीं भी) से रहस्य प्राप्त करता है, और एक मानक कुबेरनेट्स सीक्रेट बनाता है। आपका एप्लिकेशन किसी अन्य कुबेरनेट्स सीक्रेट की तरह ही db-creds पढ़ता है - किसी कोड परिवर्तन की आवश्यकता नहीं है। जब रिफ्रेशइंटरवल टिक करता है, तो ईएसओ स्वचालित रूप से सीक्रेट को पुनः प्राप्त और अपडेट करता है।

2026 में ईएसओ इतना लोकप्रिय क्यों है: यह मौजूदा निवेशों के साथ अच्छा खेलता है। आपके संगठन में पहले से ही AWS सीक्रेट मैनेजर (या वॉल्ट, या GCP सीक्रेट मैनेजर) है - ESO आपके एप्लिकेशन कोड या आपके मौजूदा गुप्त रोटेशन वर्कफ़्लो को बदले बिना उन रहस्यों को कुबेरनेट्स में उपभोग्य बनाता है।

ईएसओ या वॉल्ट सीक्रेट्स ऑपरेटर? यदि आप वॉल्ट चला रहे हैं, तो वीएसओ में सख्त वॉल्ट-विशिष्ट एकीकरण (वॉल्ट डायनेमिक सीक्रेट्स, वॉल्ट पीकेआई) है। यदि आप क्लाउड प्रदाता के मूल गुप्त स्टोर पर हैं, तो ईएसओ सबसे साफ विकल्प है। कई टीमें दोनों चलाती हैं - क्लाउड-संग्रहीत स्थिर रहस्यों के लिए ईएसओ, वॉल्ट-प्रबंधित गतिशील क्रेडेंशियल्स के लिए वीएसओ।

मूल्य निर्धारण: ईएसओ मुफ़्त और खुला स्रोत (अपाचे 2.0) है, जिसे मजबूत सामुदायिक समर्थन के साथ सीएनसीएफ सैंडबॉक्स प्रोजेक्ट द्वारा बनाए रखा जाता है।

3. सीलबंद रहस्य - GitOps-अनुकूल एन्क्रिप्टेड रहस्य

बिटनामी द्वारा सीलबंद रहस्य एक विशिष्ट समस्या का समाधान करता है: आप वास्तविक प्लेनटेक्स्ट को संग्रहीत किए बिना Git में Kubernetes Secret मेनिफ़ेस्ट को कैसे संग्रहीत करते हैं? उत्तर असममित एन्क्रिप्शन है.

सीलबंद रहस्य नियंत्रक आपके क्लस्टर में चलता है और एक निजी कुंजी रखता है। क्यूबीसील सीएलआई क्लस्टर की सार्वजनिक कुंजी के साथ कुबेरनेट्स सीक्रेट मेनिफेस्ट को एन्क्रिप्ट करता है, जिससे सील्डसीक्रेट सीआरडी का निर्माण होता है। इस एन्क्रिप्टेड मेनिफेस्ट को सुरक्षित रूप से Git के लिए प्रतिबद्ध किया जा सकता है - केवल क्लस्टर की निजी कुंजी ही इसे डिक्रिप्ट कर सकती है, और इसे केवल उस विशिष्ट क्लस्टर में डिक्रिप्ट किया जा सकता है (डिफ़ॉल्ट रूप से, सिफरटेक्स्ट नेमस्पेस + नाम से बंधा हुआ है)।

# Encrypt a secret for Git storage
kubectl create secret generic db-creds \
  --from-literal=password=s3cr3t \
  --dry-run=client -o yaml | \
  kubeseal --format=yaml > db-creds-sealed.yaml

# This file is safe to commit
git add db-creds-sealed.yaml

जब आप क्लस्टर पर SealedSecret लागू करते हैं, तो नियंत्रक इसे डिक्रिप्ट करता है और संबंधित Secret ऑब्जेक्ट बनाता है।

सील्ड सीक्रेट्स क्या अच्छा करता है: GitOps वर्कफ़्लोज़। यदि आप आर्गो सीडी या फ्लक्स का उपयोग कर रहे हैं और चाहते हैं कि प्रत्येक क्लस्टर संसाधन (रहस्यों सहित) को गिट में घोषणात्मक रूप से संग्रहीत किया जाए, तो सीलबंद रहस्य उस मॉडल में पूरी तरह से फिट बैठता है। इसमें इन-क्लस्टर नियंत्रक से परे शून्य बाहरी निर्भरता की आवश्यकता होती है।

यह क्या नहीं करता है: मानक कुबेरनेट्स घटनाओं से परे रोटेशन, गतिशील क्रेडेंशियल या ऑडिट लॉगिंग। सीलबंद रहस्य एक गिट-स्टोरेज समाधान है, पूर्ण रहस्य प्रबंधन मंच नहीं। यदि आपका पासवर्ड बदलता है, तो आप पुनः एन्क्रिप्ट करते हैं और फिर से प्रतिबद्ध होते हैं।

निजी कुंजी बैकअप महत्वपूर्ण है। यदि आप नियंत्रक की निजी कुंजी खो देते हैं, तो आप अपने सीलबंद रहस्यों को डिक्रिप्ट करने की क्षमता खो देते हैं। सीलबंद-गुप्त-कुंजी रहस्य का एक अलग, सुरक्षित स्थान पर बैकअप लें।

मूल्य निर्धारण: पूरी तरह से मुफ़्त और खुला स्रोत (अपाचे 2.0)।

4. कुबेरनेट्स के साथ AWS सीक्रेट मैनेजर

यदि आपका कार्यभार मुख्य रूप से ईकेएस पर चलता है (या एडब्ल्यूएस सेवाओं से भारी रूप से जुड़ा हुआ है), तो [एडब्ल्यूएस सीक्रेट मैनेजर] (https://aws.amazon.com/secrets-manager/) को [सीक्रेट स्टोर सीएसआई ड्राइवर] (https://secrets-store-csi-driver.sigs.k8s.io/) या एक्सटर्नल सीक्रेट ऑपरेटर के साथ जोड़ा जाना स्वाभाविक रूप से उपयुक्त है। आप AWS के प्रबंधित, एन्क्रिप्टेड, ऑडिट-लॉग स्टोर में रहस्य रखते हैं और जरूरत पड़ने पर उन्हें Kubernetes में खींच लेते हैं।

सीक्रेट्स स्टोर सीएसआई ड्राइवर (एसएससीएसआईडी) सीएनसीएफ-अनुरक्षित दृष्टिकोण है: रहस्यों को सीएसआई वॉल्यूम के माध्यम से फ़ाइलों के रूप में सीधे पॉड्स में माउंट किया जाता है, कुबेरनेट्स सीक्रेट ऑब्जेक्ट्स के रूप में कभी भी नहीं लिखा जाता है। यह उच्चतम-सुरक्षा पथ है - रहस्य पॉड मेमोरी में मौजूद हैं लेकिन कुबेरनेट्स सीक्रेट स्टोर में नहीं।

volumes:
  - name: secrets-store
    csi:
      driver: secrets-store.csi.k8s.io
      readOnly: true
      volumeAttributes:
        secretProviderClass: aws-secrets

AWS सीक्रेट्स मैनेजर की मूल क्षमताओं में समर्थित सेवाओं के लिए स्वचालित रोटेशन (आरडीएस, रेडशिफ्ट, डॉक्यूमेंटडीबी, और कस्टम रोटेशन के लिए लैम्ब्डा के माध्यम से), क्रॉस-अकाउंट एक्सेस और अनुपालन ऑडिट ट्रेल्स के लिए डीप क्लाउडट्रेल एकीकरण शामिल हैं।

लागत पर विचार: एडब्ल्यूएस सीक्रेट मैनेजर प्रति माह प्रति रहस्य और प्रति एपीआई कॉल शुल्क लेता है। कई छोटे रहस्यों वाले बड़े बेड़े के लिए, लागत बढ़ सकती है। गुप्त-संबंधी AWS खर्च के प्रबंधन की रणनीतियों के लिए हमारी क्लाउड लागत अनुकूलन मार्गदर्शिका देखें।

इसके लिए सर्वोत्तम: ईकेएस-मूल टीमों ने पहले से ही एडब्ल्यूएस पारिस्थितिकी तंत्र में निवेश किया है जो सख्त आईएएम एकीकरण और मूल आरडीएस क्रेडेंशियल रोटेशन चाहते हैं।

5. डॉपलर - डेवलपर-प्रथम SaaS सीक्रेट प्लेटफ़ॉर्म

डॉपलर SaaS-प्रथम दृष्टिकोण अपनाता है जो परिचालन जटिलता पर डेवलपर अनुभव को प्राथमिकता देता है। आप डॉपलर के यूआई (या सीएलआई/एपीआई के माध्यम से) में रहस्यों को परिभाषित करते हैं, उन्हें पर्यावरण (डेव, स्टेजिंग, प्रोडक्शन) द्वारा व्यवस्थित करते हैं, और डॉपलर कुबेरनेट्स ऑपरेटर उन्हें स्वचालित रूप से कुबेरनेट्स सीक्रेट्स में सिंक करता है।

ऑपरेटर परिवर्तनों के लिए डॉपलर को चुनता है और संबंधित कुबेरनेट्स सीक्रेट को अपडेट करता है, जब रहस्य बदलते हैं तो वैकल्पिक रूप से पॉड पुनरारंभ होता है। सेटअप एक एकल हेल्म चार्ट स्थापित है:

helm repo add doppler https://helm.doppler.com
helm install --generate-name doppler/doppler-kubernetes-operator

जहां डॉपलर चमकता है: कुबेरनेट्स के साथ स्थानीय विकास और सीआई/सीडी एकीकरण। डॉपलर सीएलआई पर्यावरण फ़ाइलों को पूरी तरह से बदल देता है (डॉपलर रन - योर-कमांड), स्थानीय, सीआई और उत्पादन वातावरण में समान रहस्य देता है। CI/CD पाइपलाइन के लिए, GitHub Actions, CircleCI और अन्य के साथ डॉपलर का मूल एकीकरण पाइपलाइन पर्यावरण चर में रहस्यों को कॉपी करने की आवश्यकता को समाप्त करता है।

डॉपलर क्या कवर नहीं करता: डायनामिक डेटाबेस क्रेडेंशियल। डॉपलर संस्करण इतिहास और ऑडिट लॉगिंग के साथ एक स्थिर रहस्य भंडार है - यह वॉल्ट की तरह एक गुप्त पीढ़ी का इंजन नहीं है।

मूल्य निर्धारण: डॉपलर छोटी टीमों के लिए एक निःशुल्क टियर प्रदान करता है। भुगतान योजनाओं में एसएसओ, एक्सेस अनुरोध और अनुपालन सुविधाएँ शामिल होती हैं। वर्तमान स्तरों (मूल्य परिवर्तन; बजट बनाने से पहले सत्यापित करें) के लिए [डॉपलर का मूल्य निर्धारण पृष्ठ] (https://www.doppler.com/pricing) देखें।

6. इन्फ़िसिकल - ओपन-सोर्स वॉल्ट वैकल्पिक

इन्फिसिकल वॉल्ट/डॉपलर एकाधिकार के लिए सबसे मजबूत ओपन-सोर्स चैलेंजर है। यह एक वेब यूआई, सीएलआई, एसडीके और एक कुबेरनेट्स ऑपरेटर प्रदान करता है - क्लाउड सेवा के रूप में स्वयं-होस्टेड या उपभोग योग्य।

वॉल्ट के डेटाबेस सीक्रेट्स इंजन के समान डेटाबेस क्रेडेंशियल जेनरेशन को लक्षित करते हुए, इन्फिसिकल ने 2024 में डायनेमिक सीक्रेट्स समर्थन जोड़ा। इनफिसिकल कुबेरनेट्स ऑपरेटर कॉन्फ़िगर करने योग्य ताज़ा अंतराल के साथ ‘इनफिसिकलसीक्रेट’ सीआरडी को मूल कुबेरनेट्स सीक्रेट्स के साथ सिंक करता है।

उन टीमों के लिए जो SaaS-स्तरीय UX (वेब डैशबोर्ड, एक्सेस अनुरोध वर्कफ़्लो, ऑडिट लॉग) चाहते हैं, लेकिन अनुपालन आवश्यकताओं के कारण बाहरी SaaS का उपयोग नहीं कर सकते हैं, Infisical सेल्फ-होस्टेड आकर्षक है। वॉल्ट की तुलना में इसे संचालित करना काफी आसान है और इसमें अधिक डेवलपर-अनुकूल ऑनबोर्डिंग अनुभव है।

मूल्य निर्धारण: ओपन-सोर्स कोर मुफ़्त है। क्लाउड-होस्टेड संस्करण में उन्नत सुविधाओं के लिए निःशुल्क स्तर और सशुल्क योजनाएँ हैं। स्व-होस्टेड एंटरप्राइज़ लाइसेंस अनुपालन-भारी वातावरण के लिए उपलब्ध है।

📚 कुबेरनेट्स सुरक्षा वास्तुकला में गहराई से जानने के लिए: अमेज़ॅन पर कुबेरनेट्स सुरक्षा और अवलोकन रहस्य, आरबीएसी, नेटवर्क नीति और रनटाइम सुरक्षा को एक समेकित ढांचे में शामिल करता है।

कार्यान्वयन युक्तियाँ

आराम के समय एन्क्रिप्शन से शुरुआत करें। कोई भी अतिरिक्त टूलिंग जोड़ने से पहले, आराम के समय कुबेरनेट्स आदि एन्क्रिप्शन को सक्षम करें। प्रबंधित क्लस्टर के लिए, यह अक्सर एकल चेकबॉक्स होता है। स्व-प्रबंधित क्लस्टर के लिए, [आधिकारिक गाइड] (https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/) का पालन करें। यह तुरंत आपकी आधारभूत सुरक्षा स्थिति को बढ़ा देता है।

रहस्यों के लिए कम से कम विशेषाधिकार प्राप्त आरबीएसी को अपनाएं। ऑडिट करें कि किस सेवा खाते में गुप्त वस्तुओं पर प्राप्त, सूची, या देखने की अनुमति है। कई हेल्म चार्ट में डिफ़ॉल्ट सेवा खाते अति-प्रावधानित हैं। किसी बाहरी स्टोर पर जाने से पहले आरबीएसी को कस लें।

अपनी गुप्त नामकरण परंपराओं की योजना शीघ्र बनाएं। रहस्य तेजी से फैलते हैं। एक सुसंगत पदानुक्रम ({env}/{service}/{credential-type}) सभी उपकरणों में स्वचालन, RBAC नीतियों और रोटेशन वर्कफ़्लो को नाटकीय रूप से सरल बनाता है।

गुप्त रोटेशन परीक्षण को न छोड़ें। आप जो भी उपकरण चुनें, जरूरत पड़ने से पहले एक रोटेशन ड्रिल चलाएं। सत्यापित करें कि आपका एप्लिकेशन बिना डाउनटाइम के नए क्रेडेंशियल प्राप्त करता है। वॉल्ट या ईएसओ के साथ गतिशील रहस्य इसे मैन्युअल रूप से अपडेट किए गए स्थिर रहस्यों की तुलना में काफी आसान बनाते हैं।

गुप्त फैलाव पर नज़र रखें। जैसे-जैसे आपका प्लेटफ़ॉर्म बढ़ता है, रहस्य जमा होते जाते हैं। अपने प्लेटफ़ॉर्म इंजीनियरिंग डैशबोर्ड में रहस्य प्रबंधन रिपोर्टिंग को एकीकृत करें। अवलोकनीयता टूलींग के लिए हमारी कुबेरनेट्स मॉनिटरिंग टूल गाइड देखें जो गुप्त पहुंच पैटर्न को ट्रैक कर सकती है।

किस टीम के लिए कौन सा टूल?

छोटी टीम, क्लाउड-नेटिव (AWS/GCP/Azure): अपने क्लाउड प्रदाता के नेटिव सीक्रेट स्टोर से जुड़ने वाले एक्सटर्नल सीक्रेट ऑपरेटर से शुरुआत करें। न्यूनतम परिचालन ओवरहेड, ठोस ऑडिट एकीकरण, मुफ़्त।

GitOps-पहली टीम (Argo CD/Flux): GitOps-संग्रहीत कॉन्फ़िगरेशन के लिए सीलबंद रहस्य, संवेदनशील रनटाइम क्रेडेंशियल्स के लिए ESO के साथ संयुक्त जो Git में एन्क्रिप्टेड भी नहीं होना चाहिए।

अनुपालन आवश्यकताओं वाला उद्यम (एसओसी 2, पीसीआई, एचआईपीएए): हाशीकॉर्प वॉल्ट - या तो स्व-होस्टेड राफ्ट क्लस्टर या एचसीपी वॉल्ट प्रबंधित। ऑडिट लॉग, गतिशील क्रेडेंशियल्स और सुक्ष्म नीति इंजन को अन्यत्र दोहराना कठिन है।

डेवलपर-अनुभव केंद्रित, मिश्रित वातावरण (K8s + स्थानीय + CI/CD): सभी वातावरणों में एकीकृत DX के लिए डॉपलर, या यदि डेटा रेजीडेंसी मायने रखती है तो इनफिसिकल सेल्फ-होस्टेड।

मल्टी-क्लस्टर वातावरण का प्रबंधन करने वाली बड़ी प्लेटफ़ॉर्म टीम: K8s-साइड एब्स्ट्रैक्शन परत के रूप में बाहरी रहस्य ऑपरेटर, वॉल्ट या क्लाउड-नेटिव स्टोर द्वारा समर्थित। क्लस्टरों में एक सार्वभौमिक एडाप्टर के रूप में ईएसओ का उपयोग करते हुए सत्य के स्रोत को एक स्टोर में केंद्रीकृत करना 2026 में एक अच्छी तरह से सिद्ध पैटर्न है।

संबंधित: आपके कुबेरनेट्स मैनिफ़ेस्ट और सीआई/सीडी पाइपलाइनों में एआई कोडिंग टूल द्वारा पेश किए गए सुरक्षा जोखिमों के लिए, 2026 में वाइब कोडिंग सुरक्षा जोखिम पर हमारी मार्गदर्शिका देखें।

अक्सर पूछे जाने वाले प्रश्न

<स्क्रिप्ट प्रकार=‘एप्लिकेशन/एलडी+जेसन’> { “@context”: “https://schema.org”, “@प्रकार”: “FAQPage”, “मुख्य इकाई”: [ { “@प्रकार”: “प्रश्न”, “नाम”: “क्या कुबेरनेट्स रहस्य डिफ़ॉल्ट रूप से एन्क्रिप्टेड हैं?”, “स्वीकृतउत्तर”: { “@प्रकार”: “उत्तर”, “टेक्स्ट”: “नहीं। कुबेरनेट्स सीक्रेट डिफ़ॉल्ट रूप से बेस 64-एनकोडेड हैं, जो एन्कोडिंग है - एन्क्रिप्शन नहीं। डेटा को एन्क्रिप्शन के बिना आदि में संग्रहीत किया जाता है जब तक कि आप क्लस्टर स्तर पर आराम से एन्क्रिप्शन को स्पष्ट रूप से कॉन्फ़िगर नहीं करते हैं। ईकेएस, जीकेई और एकेएस जैसी प्रबंधित कुबेरनेट्स सेवाएं वैकल्पिक आदि एन्क्रिप्शन प्रदान करती हैं, लेकिन इसे सक्षम किया जाना चाहिए। हमेशा अपने क्लस्टर के एन्क्रिप्शन कॉन्फ़िगरेशन को सत्यापित करें और संवेदनशील क्रेडेंशियल्स के लिए बाहरी रहस्य प्रबंधन उपकरण पर विचार करें।” } }, { “@प्रकार”: “प्रश्न”, “नाम”: “सील्ड सीक्रेट्स और एक्सटर्नल सीक्रेट्स ऑपरेटर के बीच क्या अंतर है?”, “स्वीकृतउत्तर”: { “@प्रकार”: “उत्तर”, “पाठ”: “सीलबंद रहस्य कुबेरनेट्स सीक्रेट मैनिफ़ेस्ट को एन्क्रिप्ट करता है ताकि उन्हें सुरक्षित रूप से गिट के लिए प्रतिबद्ध किया जा सके। यह एक गिट-स्टोरेज समाधान है - रहस्य गिट (एन्क्रिप्टेड) में रहते हैं और एक इन-क्लस्टर नियंत्रक द्वारा डिक्रिप्ट किए जाते हैं। बाहरी रहस्य ऑपरेटर एक पुल है जो बाहरी स्टोर्स (एडब्ल्यूएस सीक्रेट मैनेजर, हाशीकॉर्प वॉल्ट, जीसीपी सीक्रेट मैनेजर इत्यादि) से रहस्य लाता है और कुबेरनेट्स बनाता है उनसे गुप्त वस्तुएं। वे विभिन्न समस्याओं का समाधान करते हैं: GitOps वर्कफ़्लो के लिए सीलबंद रहस्य, बाहरी प्रबंधन प्रणालियों से लाइव रहस्य खींचने के लिए ESO।” } }, { “@प्रकार”: “प्रश्न”, “नाम”: “हाशीकॉर्प वॉल्ट में गतिशील रहस्य क्या हैं और वे क्यों मायने रखते हैं?”, “स्वीकृतउत्तर”: { “@प्रकार”: “उत्तर”, “पाठ”: “गतिशील रहस्य स्थिर रूप से संग्रहीत होने के बजाय वॉल्ट द्वारा ऑन-डिमांड उत्पन्न किए गए क्रेडेंशियल हैं। जब कोई सेवा पोस्टग्रेएसक्यूएल क्रेडेंशियल का अनुरोध करती है, तो वॉल्ट एक अद्वितीय उपयोगकर्ता नाम और पासवर्ड जोड़ी बनाता है, इसे उचित डेटाबेस अनुमतियां देता है, और एक समाप्ति समय (एक ‘पट्टा’) निर्धारित करता है। जब पट्टा समाप्त हो जाता है, तो वॉल्ट स्वचालित रूप से क्रेडेंशियल रद्द कर देता है। इसका मतलब है कि चोरी करने के लिए कोई लंबे समय तक रहने वाला पासवर्ड नहीं है, और प्रत्येक सेवा उदाहरण को अपना मिलता है अपनी अनूठी साख - यदि किसी से समझौता किया जाता है तो ब्लास्ट त्रिज्या को सीमित करना डेटाबेस, AWS IAM, GCP सेवा खातों, Azure सेवा प्रिंसिपलों, SSH, और बहुत कुछ के लिए उपलब्ध है। } }, { “@प्रकार”: “प्रश्न”, “नाम”: “मैं एडब्ल्यूएस सीक्रेट मैनेजर को कुबेरनेट्स (गैर-ईकेएस) के साथ कैसे एकीकृत करूं?”, “स्वीकृतउत्तर”: { “@प्रकार”: “उत्तर”, “टेक्स्ट”: “सबसे पोर्टेबल दृष्टिकोण एडब्ल्यूएस क्लस्टरसेक्रेटस्टोर के साथ एक्सटर्नल सीक्रेट ऑपरेटर है। आप एक आईएएम उपयोगकर्ता या भूमिका सीक्रेटमैनेजर के साथ बनाते हैं: गेटसेक्रेटवैल्यू अनुमति, उन क्रेडेंशियल्स के साथ ईएसओ क्लस्टरसेक्रेटस्टोर को कॉन्फ़िगर करें (या ईकेएस के लिए आईआरएसए का उपयोग करें), फिर एक्सटर्नलसेक्रेट संसाधनों को परिभाषित करें जो आपके एडब्ल्यूएस सीक्रेट मैनेजर पथों को संदर्भित करते हैं। ईएसओ कुबेरनेट्स सीक्रेट ऑब्जेक्ट्स में मानों को सिंक करता है आपके कॉन्फ़िगर किए गए अंतराल पर विशेष रूप से ईकेएस के लिए, आईआरएसए (सेवा खातों के लिए आईएएम भूमिकाएं) स्थिर क्रेडेंशियल के बिना पॉड-स्तरीय आईएएम प्रमाणीकरण की अनुमति देता है।” } }, { “@प्रकार”: “प्रश्न”, “नाम”: “क्या मुझे कुबेरनेट्स रहस्य प्रबंधन के लिए डॉपलर या हाशीकॉर्प वॉल्ट का उपयोग करना चाहिए?”, “स्वीकृतउत्तर”: { “@प्रकार”: “उत्तर”, “पाठ”: “डॉपलर और वॉल्ट विभिन्न आवश्यकताओं को लक्षित करते हैं। डॉपलर डेवलपर अनुभव में उत्कृष्टता प्राप्त करता है - सरल यूआई, देशी सीआई/सीडी एकीकरण, और स्थानीय विकास, स्टेजिंग और उत्पादन में रहस्यों को प्रबंधित करने का एक एकीकृत तरीका। वॉल्ट उद्यम सुरक्षा आवश्यकताओं में उत्कृष्टता प्राप्त करता है - गतिशील गुप्त पीढ़ी, सुक्ष्म नीति इंजन, व्यापक ऑडिट लॉगिंग और मल्टी-क्लाउड गुप्त बैकएंड। छोटे से मध्यम आकार की टीमों के लिए जहां डेवलपर उत्पादकता सबसे अधिक मायने रखती है, डॉपलर अक्सर तेज़ रास्ता होता है। अनुपालन-भारी वातावरण (एसओसी 2, पीसीआई डीएसएस, एचआईपीएए) जिसके लिए गतिशील क्रेडेंशियल्स और पूर्ण ऑडिट ट्रेल्स की आवश्यकता होती है, वॉल्ट अधिक रक्षात्मक विकल्प है।” } }, { “@प्रकार”: “प्रश्न”, “नाम”: “मैं रहस्यों को कंटेनर लॉग या पर्यावरण चर में लीक होने से कैसे रोकूँ?”, “स्वीकृतउत्तर”: { “@प्रकार”: “उत्तर”, “टेक्स्ट”: “कई अभ्यास मदद करते हैं: सबसे पहले, पर्यावरण चर के बजाय फ़ाइलों (वॉल्यूम माउंट के माध्यम से) के रूप में रहस्यों को माउंट करने को प्राथमिकता दें - पर्यावरण चर को /proc, डीबग एंडपॉइंट्स या क्रैश डंप के माध्यम से उजागर किया जा सकता है। दूसरा, किसी बाहरी स्टोर से सीधे रहस्यों को माउंट करने के लिए सीक्रेट्स स्टोर सीएसआई ड्राइवर का उपयोग करें, उन्हें बिल्कुल भी लिखे बिना। तीसरा, ज्ञात गुप्त पैटर्न को साफ़ करने के लिए अपने लॉगिंग स्टैक को कॉन्फ़िगर करें। चौथा, वॉल्ट एजेंट या ईएसओ के साथ उपयोग करें ‘सीक्रेटसिंकओनली’ पैटर्न ताकि पॉड स्टार्टअप के दौरान रहस्य लॉग न हों। अंत में, कोड आपके रिपॉजिटरी तक पहुंचने से पहले ट्रिवी के गुप्त स्कैनर या गिटलीक्स जैसे टूल का उपयोग करके सीआई/सीडी में आकस्मिक गुप्त प्रतिबद्धताओं के लिए स्कैन करें। } }, { “@प्रकार”: “प्रश्न”, “नाम”: “एक छोटी टीम के लिए सबसे अच्छा कुबेरनेट्स रहस्य प्रबंधन उपकरण कौन सा है?”, “स्वीकृतउत्तर”: { “@प्रकार”: “उत्तर”, “टेक्स्ट”: “एक छोटी टीम के लिए, सबसे अच्छा शुरुआती बिंदु आमतौर पर आपके क्लाउड प्रदाता के मूल गुप्त स्टोर (एडब्ल्यूएस सीक्रेट मैनेजर, जीसीपी सीक्रेट मैनेजर, या एज़्योर की वॉल्ट) से जुड़ा बाहरी सीक्रेट ऑपरेटर होता है। इस दृष्टिकोण में न्यूनतम परिचालन ओवरहेड होता है - ईएसओ नियंत्रक बनाए रखने के लिए एकमात्र अतिरिक्त घटक है - और तुरंत आपको क्लाउड प्रदाता के अंतर्निहित टूल के माध्यम से आराम, ऑडिट लॉगिंग और गुप्त रोटेशन पर एन्क्रिप्शन देता है। यदि आपकी टीम को एक अच्छे स्थानीय विकास अनुभव की भी आवश्यकता है, तो डॉपलर मुफ़्त है। टियर एक एकीकृत रहस्य यूआई और सीएलआई जोड़ता है जो स्थानीय, सीआई और कुबेरनेट्स वातावरण में काम करता है।” } } ] } </स्क्रिप्ट>

क्या कुबेरनेट्स सीक्रेट्स डिफ़ॉल्ट रूप से एन्क्रिप्टेड हैं?

नहीं, कुबेरनेट्स सीक्रेट डिफ़ॉल्ट रूप से बेस64-एनकोडेड हैं - एन्कोडिंग, एन्क्रिप्शन नहीं। जब तक आप स्पष्ट रूप से रेस्ट पर एन्क्रिप्शन सक्षम नहीं करते तब तक डेटा को बिना एन्क्रिप्शन के आदि में संग्रहीत किया जाता है। हमेशा अपने क्लस्टर कॉन्फ़िगरेशन को सत्यापित करें और उत्पादन कार्यभार के लिए बाहरी रहस्य प्रबंधन टूलींग पर विचार करें।

सीलबंद राज और बाहरी राज संचालक के बीच क्या अंतर है?

सीलबंद रहस्य सुरक्षित Git भंडारण के लिए गुप्त मैनिफ़ेस्ट को एन्क्रिप्ट करता है - यह एक GitOps समाधान है। एक्सटर्नल सीक्रेट्स ऑपरेटर बाहरी स्टोर्स (वॉल्ट, एडब्ल्यूएस सीक्रेट्स मैनेजर, आदि) से लाइव सीक्रेट्स लाता है और उनसे देशी कुबेरनेट्स सीक्रेट्स बनाता है। वे विभिन्न समस्याओं का समाधान करते हैं और अक्सर एक साथ उपयोग किए जाते हैं।

गतिशील रहस्य क्या हैं और वे क्यों मायने रखते हैं?

गतिशील रहस्य स्वचालित समाप्ति के साथ ऑन-डिमांड उत्पन्न क्रेडेंशियल हैं - अनिश्चित काल तक संग्रहीत स्थिर पासवर्ड के बजाय। हाशीकॉर्प वॉल्ट कुबेरनेट्स के लिए गतिशील रहस्यों का प्राथमिक स्रोत है। यदि किसी गतिशील क्रेडेंशियल से समझौता किया जाता है, तो यह अपने निर्धारित समय पर समाप्त हो जाता है। यह लंबे समय तक रहने वाले स्थैतिक रहस्यों की तुलना में उल्लंघन विस्फोट त्रिज्या को नाटकीय रूप से सीमित करता है।

क्या मुझे कुबेरनेट्स के लिए डॉपलर या हाशीकॉर्प वॉल्ट का उपयोग करना चाहिए?

डॉपलर ने डेवलपर अनुभव और तेजी से अपनाने पर जीत हासिल की। वॉल्ट उद्यम अनुपालन पर जीतता है - गतिशील क्रेडेंशियल्स, ग्रैन्युलर ऑडिट लॉग और बारीक नीति। छोटी से मध्यम आकार की टीमों के लिए, डॉपलर अक्सर तेज़ रास्ता होता है। एसओसी 2, पीसीआई डीएसएस, या एचआईपीएए वातावरण के लिए, वॉल्ट आमतौर पर अधिक रक्षात्मक विकल्प है।

मैं रहस्यों को कंटेनर लॉग में लीक होने से कैसे रोकूँ?

पर्यावरण चर के बजाय रहस्यों को फ़ाइलों के रूप में माउंट करें (पर्यावरण चर को /proc और डिबग एंडपॉइंट के माध्यम से उजागर किया जा सकता है)। आदि को पूरी तरह से बायपास करने के लिए सीक्रेट्स स्टोर सीएसआई ड्राइवर का उपयोग करें। ट्रिवी के गुप्त स्कैनर जैसे उपकरणों के साथ अपने सीआई/सीडी पाइपलाइन में आकस्मिक गुप्त प्रतिबद्धताओं के लिए स्कैन करें - सेटअप विवरण के लिए हमारी [भेद्यता स्कैनिंग टूल गाइड] (/पोस्ट/भेद्यता-स्कैनिंग-टूल्स-डेवॉप्स-2026/) देखें।

छोटी कुबेरनेट्स टीम के लिए सबसे अच्छा रहस्य प्रबंधन उपकरण कौन सा है?

अपने क्लाउड प्रदाता के मूल गुप्त स्टोर द्वारा समर्थित बाहरी रहस्य ऑपरेटर से शुरुआत करें। न्यूनतम ऑप्स ओवरहेड, ठोस ऑडिट लॉगिंग, निःशुल्क। यदि आप एकीकृत विकास/सीआई/उत्पादन रहस्य अनुभव भी चाहते हैं तो डॉपलर का निःशुल्क स्तर जोड़ें।

मैं AWS सीक्रेट मैनेजर को कुबेरनेट्स के साथ कैसे एकीकृत करूं?

AWS सीक्रेट मैनेजर की ओर इशारा करते हुए ClusterSecretStore के साथ एक्सटर्नल सीक्रेट ऑपरेटर का उपयोग करें। ईकेएस पर, पॉड-स्तरीय आईएएम प्रमाणीकरण के लिए आईआरएसए (सेवा खातों के लिए आईएएम भूमिकाएं) का उपयोग करें - कोई स्थिर क्रेडेंशियल की आवश्यकता नहीं है। गैर-ईकेएस क्लस्टरों पर, अपने विशिष्ट गुप्त एआरएन के दायरे में Secretsmanager:GetSecretValue वाले IAM उपयोगकर्ता का उपयोग करें।

कुबेरनेट्स डिफ़ॉल्ट रहस्य क्यों कम हो जाते हैं#

टीएल;डीआर - फ़ीचर तुलना#

1. हाशीकॉर्प वॉल्ट - एंटरप्राइज़ रहस्यों के लिए स्वर्ण मानक#

2. एक्सटर्नल सीक्रेट ऑपरेटर (ESO) - K8s-नेटिव इंटीग्रेशन लेयर#

3. सीलबंद रहस्य - GitOps-अनुकूल एन्क्रिप्टेड रहस्य#

4. कुबेरनेट्स के साथ AWS सीक्रेट मैनेजर#

5. डॉपलर - डेवलपर-प्रथम SaaS सीक्रेट प्लेटफ़ॉर्म#

6. इन्फ़िसिकल - ओपन-सोर्स वॉल्ट वैकल्पिक#

कार्यान्वयन युक्तियाँ#

किस टीम के लिए कौन सा टूल?#

अक्सर पूछे जाने वाले प्रश्न#

क्या कुबेरनेट्स सीक्रेट्स डिफ़ॉल्ट रूप से एन्क्रिप्टेड हैं?#

सीलबंद राज और बाहरी राज संचालक के बीच क्या अंतर है?#

गतिशील रहस्य क्या हैं और वे क्यों मायने रखते हैं?#

क्या मुझे कुबेरनेट्स के लिए डॉपलर या हाशीकॉर्प वॉल्ट का उपयोग करना चाहिए?#

मैं रहस्यों को कंटेनर लॉग में लीक होने से कैसे रोकूँ?#

छोटी कुबेरनेट्स टीम के लिए सबसे अच्छा रहस्य प्रबंधन उपकरण कौन सा है?#

मैं AWS सीक्रेट मैनेजर को कुबेरनेट्स के साथ कैसे एकीकृत करूं?#

📬 Stay ahead of the curve