External Secrets Operator：从KMS同步Kubernetes密钥

概览

External Secrets 通过控制器将外部密钥源（如 AWS Secrets Manager、GCP Secret Manager、Vault）同步到集群内 Secrets，实现集中管理与自动轮换。

技术参数（已验证）

• SecretStore：定义外部密钥源与认证方式（IRSA/Workload Identity/ServiceAccount）。
• ExternalSecret：声明同步键与目标 Secret 映射，支持模板与刷新间隔。
• 轮换与审计：外部源轮换后控制器拉取更新；配合审计记录访问与变更。

实战清单

• 按环境与命名空间划分 SecretStore，最小权限访问。
• 在 CI 中校验引用与命名，避免运行时缺失。