Kubernetes Secrets 与 Sealed Secrets（加密、密钥轮换与 GitOps）

--- title: Kubernetes Secrets 与 Sealed Secrets（加密、密钥轮换与 GitOps） keywords: - Kubernetes Secrets - Sealed Secrets - 加密 - 密钥轮换 - GitOps description: 使用 Kubernetes Secrets 与 Sealed Secrets 在 GitOps 流程下安全管理机密，配置加密与密钥轮换，并提供验证方法。 date: 2025-11-26 categories: - 文章资讯 - 技术教程 --- # Kubernetes Secrets 与 Sealed Secrets（加密、密钥轮换与 GitOps） ## 概述 原生 Secrets 默认仅 Base64 编码，需配合 KMS/加密与 Sealed Secrets 实现安全的 GitOps 机密管理与轮换。 ## 关键实践与参数 - 启用静态加密：`EncryptionConfiguration` 结合 KMS（如 Cloud KMS）。 - Sealed Secrets：使用控制器公钥加密机密，存储在 Git 仓库，集群解封。 - 轮换策略：密钥对定期轮换；Sealed Secrets 通过新公钥重新加密。 ## 示例（Sealed Secrets） ```yaml apiVersion: bitnami.com/v1alpha1 kind: SealedSecret metadata: name: api-secret spec: encryptedData: TOKEN: AgC... ``` ## 验证方法 - 检查 API Server `encryption-provider-config` 生效与密钥来源。 - 在集群中解封后验证 Secret 挂载与使用；轮换后旧 Secret 撤销。 - 演练密钥泄露与撤销路径，确保最短暴露窗口。 ## 注意事项 - 禁止明文机密入库；仅提交 SealedSecrets。 - 管理密钥访问权限与审计；最小权限原则。 - 不同环境的密钥需独立管理与加密材料。