6.3 密钥隐身术：Sealed-Secrets 与 Vault 的 K8s 密钥管理之道

1. 引言：Base64 ≠ 加密

K8s Secret 天然“弱保护”：默认以 Base64 存储于 Etcd，未开启 at-rest 加密时属于明文。密钥管理的目标是：密钥不落盘、最小暴露、可审计、可轮换。

2. Sealed Secrets：把密钥“安全地放进 Git”

2.1 工作原理

• 控制器（集群内）持私钥；
• 开发者用公钥加密密文，生成SealedSecret；
• 控制器在集群内解封为标准 Secret。

2.2 示例

apiVersion:bitnami.com/v1alpha1kind:SealedSecretmetadata:name:db-