GitOps

SOPS (Secrets OPerationS) ermöglicht die sichere Speicherung von Kubernetes Secrets im Git Repository durch selektive Verschlüsselung der sensitiven Datenblöcke. Mit dem Parameter –encrypted-regex ‘^(data|stringData)$’ werden nur die Secret-Inhalte verschlüsselt, während die Kubernetes-Metadaten lesbar bleiben. Dies bietet eine GitOps-kompatible Alternative zu externen Secret Vaults und ermöglicht vollständige Versionskontrolle der Secret-Konfigurationen. Die AGE-Verschlüsselung stellt dabei sowohl Datenschutz als auch Integrität der gespeicherten Secrets sicher.

Die Lösung liegt in der Trennung von Build- und Deployment-Prozessen durch eine GitOps-Architektur. Anstatt alles in einer monolithischen Pipeline zu erledigen, beschränke ich die Build-Pipeline auf das Wesentliche: semantische Versionierung, Docker Image-Erstellung und Push in die Registry. Das Deployment wird komplett an FluxCD delegiert, das kontinuierlich das GitOps-Repository überwacht und automatisch neue Image-Versionen erkennt und ausrollt.