Kubernetes Secrets 与 Sealed Secrets（加密、密钥轮换与 GitOps）

Kubernetes Secrets 与 Sealed Secrets（加密、密钥轮换与 GitOps）概述原生 Secrets 默认仅 Base64 编码，需配合 KMS/加密与 Sealed Secrets 实现安全的 GitOps 机密管理与轮换。关键实践与参数启用静态加密：`EncryptionConfiguration` 结合 KMS（如 Cloud KMS）。Sealed Secrets：使用控制器公钥加密机密，存储在 Git 仓库，集群解封。轮换策略：密钥对定期轮换；Sealed Secrets 通过新公钥重新加密。示例（Sealed Secrets）apiVersion: bitnami.com/v1alpha1 kind: SealedSecret metadata: name: api-secret spec: encryptedData: TOKEN: AgC... 验证方法检查 API Server `encryption-provider-config` 生效与密钥来源。在集群中解封后验证 Secret 挂载与使用；轮换后旧 Secret 撤销。演练密钥泄露与撤销路径，确保最短暴露窗口。注意事项禁止明文机密入库；仅提交 SealedSecrets。管理密钥访问权限与审计；最小权限原则。不同环境的密钥需独立管理与加密材料。