Vault & Secrets
podmaker secret’larını asla düz metin saklamaz. Tam-zamanında lease üretir ve referansları senin kontrol ettiğin bir secret manager’a karşı çözer.
İki katman
vault-broker podmaker ağında yaşar. Meta-cluster vault’una AppRole ile kimlik doğrular, tek işe kapsamlı bir child token üretir, cubbyhole içine sarar ve orchestrator’a döner. Her üretim denetlenir.
vault-bridge-agent senin ağında çalışır. Control plane’i workspace başına long-poll eder, her referansı kendi upstream vault’una karşı çözer ve değeri döner — böylece secret’lar control-plane veritabanında ne dolaşır ne durur. Bridge token’ları workspace kapsamlıdır ve kiracılar arası geçemez.
manifest env.from_vault ──▶ orchestrator ──▶ vault-broker (JIT lease) │ ▼ vault-bridge-agent (senin ağın) │ ▼ senin secret manager’ınDesteklenen upstream’ler
Bridge agent şunlara proxy yapar:
- OpenBao
- HashiCorp Vault
- AWS Secrets Manager
- AWS SSM Parameter Store
- GCP Secret Manager
- Azure Key Vault
- Doppler
- Infisical
- 1Password Connect
- Akeyless
- Bitwarden Secrets Manager
- Keeper Secrets Manager
- CyberArk Conjur
- Pulumi ESC
Ek yönetilen motorlar control plane’de canonical engine olarak kayıtlıdır; güncel sürücü seti için sürümünü kontrol et.
Secret referanslama
Herhangi bir manifest’te, bir değerin kabul edildiği her yerde from_vault
ValueRef kullan:
env: DATABASE_URL: from_vault: secret/acme/webdb#url # path#keysource: type: git repo: git@github.com:acme/web.git auth: from_vault: secret/acme/web#deploy_keyReferans path#key biçimindedir. Deploy anında orchestrator broker’dan bir lease
ister, bridge onu çözer, değer enjekte edilir ve lease sonradan atılır.
Audit
Üretim, okuma ve rotasyon olayları control-plane audit log’una yazılır; her secret erişimi için bir compliance izi verir.
→ Tanıtım sayfası: Vault & Secrets