---

title: Kubernetes Secrets 与 Sealed Secrets（加密、密钥轮换与 GitOps）

keywords:

• Kubernetes Secrets
• Sealed Secrets
• 加密
• 密钥轮换
• GitOps

description: 使用 Kubernetes Secrets 与 Sealed Secrets 在 GitOps 流程下安全管理机密，配置加密与密钥轮换，并提供验证方法。

date: 2025-11-26

categories:

• 文章资讯
• 技术教程

---

Kubernetes Secrets 与 Sealed Secrets（加密、密钥轮换与 GitOps）

概述

原生 Secrets 默认仅 Base64 编码，需配合 KMS/加密与 Sealed Secrets 实现安全的 GitOps 机密管理与轮换。

关键实践与参数

• 启用静态加密：EncryptionConfiguration 结合 KMS（如 Cloud KMS）。
• Sealed Secrets：使用控制器公钥加密机密，存储在 Git 仓库，集群解封。
• 轮换策略：密钥对定期轮换；Sealed Secrets 通过新公钥重新加密。

示例（Sealed Secrets）

apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
  name: api-secret
spec:
  encryptedData:
    TOKEN: AgC...

验证方法

• 检查 API Server encryption-provider-config 生效与密钥来源。
• 在集群中解封后验证 Secret 挂载与使用；轮换后旧 Secret 撤销。
• 演练密钥泄露与撤销路径，确保最短暴露窗口。

注意事项

• 禁止明文机密入库；仅提交 SealedSecrets。
• 管理密钥访问权限与审计；最小权限原则。
• 不同环境的密钥需独立管理与加密材料。