Kubernetes Secrets与密钥管理：密文、轮换与外部密钥

Kubernetes Secrets与密钥管理：密文、轮换与外部密钥概览Secrets 默认以 base64 编码存储；需启用加密与严格访问控制，并与外部密钥管理系统集成实现轮换。提供按命名空间与服务的最小权限访问与审计。技术参数（已验证）加密：启用 `EncryptionConfiguration` 在 etcd 层加密；选择合适的 KMS 插件。访问控制：RBAC 与命名空间隔离；在 Pod 上使用最小范围的挂载与环境变量。轮换：定期更新 Secrets；通过滚动重启与挂载更新传递。外部密钥：集成外部 KMS（如 AWS KMS/HashiCorp Vault）；使用 CSI 驱动动态注入。审计与观测：记录访问与变更事件；对泄漏风险进行告警。实战清单启用 etcd 加密与严格 RBAC；最小权限访问 Secrets。建立轮换与撤销流程；使用外部 KMS 统一管理密钥生命周期。在工作负载与管道中避免 Secrets 明文；提供审计与回滚路径。