Selbst gehostete Secrets, Passwörter und Zertifikate für Kubernetes. AES-256-GCM at rest, PAT-basierte Maschinen-Authentifizierung, CLI + GitHub Action + K8s-Sync-CronJob, Keycloak SSO. Die selbst gehostete Alternative zu Doppler — heute bei Sensey in Produktion im Einsatz.
CLI, UI, GitHub Action, and PAT-authenticated machines write encrypted secrets
AES-256-GCM ciphertext at rest, scoped per organization, project, and environment
Runs every 2 minutes inside each cluster, pulls scoped secrets, writes to K8s
Annotated for Stakater Reloader — pods auto-restart on content change
Kagi ist, wie Sensey jedes Secret, jedes Passwort und jedes Zertifikat über alle unsere Kubernetes-Cluster verwaltet. Jede hier beschriebene Produktions-Credential läuft heute durch Kagi — über einen Sync-CronJob an Pods geliefert und dank Stakater Reloader ohne Downtime rotiert. Wir haben es gebaut, weil wir es selbst gebraucht haben.
AES-256-GCM at rest, Scoping pro Organisation und eine Projekt- + Umgebungs-Hierarchie. Soft-Delete mit vollständigem Audit-Trail — du besitzt die Daten und die Schlüssel.
Ein CronJob synchronisiert Kagi-Projekte alle zwei Minuten zu Kubernetes Secrets. Pods laden automatisch über Stakater-Reloader-Annotationen neu, sodass Credentials ohne manuelle Neustarts oder Downtime rotieren.
Personal Access Tokens (vv_-Präfix, SHA-256 gehasht) mit optionalem Ablauf und Organisations-Scoping. Dieselben Tokens betreiben die CLI, CI/CD-Pipelines und In-Cluster-Sync-Jobs.
Die kagi Go CLI kommt über Homebrew. Eine GitHub Action injiziert Secrets in $GITHUB_ENV, kagi run -- <cmd> umschließt lokale Dev-Befehle, und .env-Bulk-Import/-Export erhält bestehende Workflows.
CLI, UI, GitHub Action, and PAT-authenticated machines write encrypted secrets
AES-256-GCM ciphertext at rest, scoped per organization, project, and environment
Runs every 2 minutes inside each cluster, pulls scoped secrets, writes to K8s
Annotated for Stakater Reloader — pods auto-restart on content change
Engineer or CI writes secret via CLI, UI, or GitHub Action
AES-256-GCM encryption using per-organization data key
Persisted as ciphertext in Postgres with audit metadata
CronJob pulls scoped project into in-cluster Kubernetes Secret
Pods mount the updated Secret as env vars or files
Stakater Reloader restarts affected Deployments on content change
Plattform-Ingenieure, die Doppler oder Vault durch eine selbst gehostete, Kubernetes-native Alternative ersetzen, die sie vollständig kontrollieren
DevOps-Teams, die GitOps-freundliche Secret-Auslieferung mit automatischen Pod-Reloads und Zero-Downtime-Rotation brauchen
Sicherheitsbewusste KMU, die volle Kontrolle über ihre Verschlüsselungsschlüssel, ihren Audit-Trail und ihre Data Residency wollen
Tritt dem Founding Circle bei und betreibe dieselbe Secrets-Plattform, mit der Sensey seine eigenen Kubernetes-Workloads schützt.
Frühen Zugang Anfragen