网硕互联帮助中心6.3 密钥隐身术:Sealed-Secrets 与 Vault 的 K8s 密钥管理之道
1. 引言:Base64 ≠ 加密
K8s Secret 天然“弱保护”:默认以 Base64 存储于 Etcd,未开启 at-rest 加密时属于明文。密钥管理的目标是:密钥不落盘、最小暴露、可审计、可轮换。
2. Sealed Secrets:把密钥“安全地放进 Git”
2.1 工作原理
- 控制器(集群内)持私钥;
- 开发者用公钥加密密文,生成 SealedSecret;
- 控制器在集群内解封为标准 Secret。
2.2 示例
apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
name: db–
评论前必须登录!
注册