Kubernetes on Dagimal (⌐ ͡■ ͜ʖ ͡■)https://dagimal.com/blog/kubernetes/Recent content in Kubernetes on Dagimal (⌐ ͡■ ͜ʖ ͡■)Hugoen-USCopyright © 2024, Dagimal.Tue, 07 Apr 2026 17:00:00 +0700ArgoCD: CI Cukup Build, Urusan Deploy Serahin ke Githttps://dagimal.com/blog/argocd-gitops/Tue, 07 Apr 2026 17:00:00 +0700https://dagimal.com/blog/argocd-gitops/<p>Kalau kita bicara <em>CI/CD</em>, kebanyakan orang masih sering campur aduk antara proses <em>CI</em> dan <em>CD</em> dalam satu <em>pipeline</em>. Build <em>image</em>, push ke <em>registry</em>, terus langsung <em>deploy</em> ke <em>Kubernetes</em> dalam satu alur. Kelihatannya simpel, tapi ada beberapa masalah yang muncul seiring waktu:</p> <ul> <li><em>Pipeline</em> jadi satu titik kegagalan. Kalau ada yang salah di proses <em>deploy</em>, susah dipisahkan dari proses <em>build</em></li> <li>Tidak ada <em>audit trail</em> yang jelas siapa yang trigger <em>deploy</em> dan kapan</li> <li><em>Rollback</em> butuh re-run <em>pipeline</em>, padahal seharusnya cukup balik ke versi sebelumnya</li> <li><em>CI pipeline</em> butuh akses langsung ke <em>Kubernetes cluster</em>, yang berarti ada <em>credential</em> cluster yang disimpan di <em>CI system</em></li> </ul> <p><em>ArgoCD</em> hadir dengan pendekatan <em>GitOps</em>: <strong>sumber kebenaran untuk kondisi <em>cluster</em> adalah <em>Git repository</em></strong>. <em>ArgoCD</em> yang akan watch <em>repo</em>, dan kalau ada perbedaan antara yang ada di <em>Git</em> dengan yang berjalan di <em>cluster</em>, dia akan sync otomatis atau minta kita untuk sync manual.</p>External Secrets Operator: Inject Secret dari Vault ke Kuberneteshttps://dagimal.com/blog/external-secret-operator/Tue, 07 Apr 2026 16:00:00 +0700https://dagimal.com/blog/external-secret-operator/<p>Kalau kita manage <em>secret</em> di <em>Kubernetes</em>, cara paling umum adalah simpan langsung sebagai <em>Kubernetes Secret</em>. Tapi ada masalahnya: <strong>nilai di dalam <em>Kubernetes Secret</em> hanya di-encode dengan <em>base64</em>, bukan dienkripsi</strong>. Siapapun yang punya akses ke <em>cluster</em> bisa baca isinya. Belum lagi soal rotasi <em>secret</em> yang manual dan menyiksa.</p> <p><em>HashiCorp Vault</em> hadir sebagai solusi penyimpanan <em>secret</em> yang proper, dengan enkripsi, audit log, dan fitur rotasi otomatis. Masalahnya, bagaimana cara aplikasi di <em>Kubernetes</em> baca <em>secret</em> dari <em>Vault</em> tanpa ribet?</p>RBAC di Kubernetes: Atur Siapa Boleh Ngapainhttps://dagimal.com/blog/rbac-kubernetes/Tue, 07 Apr 2026 15:30:00 +0700https://dagimal.com/blog/rbac-kubernetes/<p>Kalau kita sudah punya <em>Kubernetes cluster</em>, salah satu hal yang paling sering diabaikan adalah siapa yang boleh akses apa. Default-nya, kalau kita kasih seseorang <em>kubeconfig</em>, mereka bisa ngapa-ngapain di dalam <em>cluster</em>. Bisa delete <em>pod</em>, bisa baca <em>secret</em>, bisa bikin kekacauan.</p> <p><em>RBAC</em> atau <em>Role-Based Access Control</em> adalah mekanisme bawaan <em>Kubernetes</em> untuk mengontrol akses ke resource di dalam <em>cluster</em>. Dengan <em>RBAC</em>, kita bisa tentuin dengan tepat: <strong>user A hanya boleh baca <em>pod</em> di <em>namespace</em> tertentu</strong>, atau <strong>service account B hanya boleh create <em>deployment</em></strong>, tidak lebih dari itu.</p>