https://this-is-fine.io/tags/pgp/Recent content in Pgp on FuchsbauHugode-DETue, 09 Jun 2026 12:00:00 +0200https://this-is-fine.io/posts/20260609-secrets-sops-vault-external-secrets/Tue, 09 Jun 2026 12:00:00 +0200https://this-is-fine.io/posts/20260609-secrets-sops-vault-external-secrets/<p>Mein Lab ist ein öffentliches GitOps-Repo — über meinen <a href="https://radicle.dev" rel="external noopener" target="_blank">Radicle</a> -Seed-Node <code>seed.this-is-fine.io</code> kann es jeder klonen. Daraus folgt eine harte Regel: <strong>kein Klartext-Secret, niemals, nirgends in Git.</strong> Und trotzdem braucht jeder Workload im Cluster seine Passwörter, API-Tokens und Signing-Keys. Diesen Widerspruch löse ich in drei Schichten, von denen jede genau eine Aufgabe hat.</p> <p>Im Beitrag über die <a href="https://this-is-fine.io/posts/20260609-pre-commit-gitleaks-sops-guard/">pre-commit-Hooks</a> ging es darum, wie ich verhindere, dass ein Secret <em>versehentlich</em> in Git landet. Hier geht es um den geplanten Weg: wie ein Secret <em>absichtlich</em> von meiner Maschine bis in einen Pod fließt, ohne je unverschlüsselt das Repo zu berühren.</p>