Kubernetes Secret是一种用于存储敏感数据（如密码、密钥）的资源对象，以Base64编码形式存储在etcd中但不加密，需配合访问控制和加密措施使用。可通过命令行或YAML创建，支持从字面值或文件生成。在Pod中可作为环境变量注入或挂载为卷，推荐后者以提升安全性。为加强安全，应启用静态数据加密、严格配置RBAC权限、避免环境变量传递敏感信息、定期轮换凭证，并结合Vault、Sealed Secrets等外部工具实现加密管理和自动同步。正确使用Secret并强化防护措施可显著提升集群安全性。

在 Kubernetes 环境中，敏感信息如密码、API 密钥、证书等不能直接硬编码在容器镜像或 Pod 配置中。Kubernetes 提供了 Secret 资源对象，用于安全地存储和管理这些数据。合理使用 Secret 可以有效降低信息泄露风险。

什么是 Kubernetes Secret？

Secret 是一种用于保存小块敏感数据的对象，例如：

• 数据库用户名和密码
• OAuth 令牌
• SSH 私钥
• TLS 证书

Secret 以 Base64 编码形式存储在 etcd 中，并不加密，因此必须配合访问控制和加密措施使用。它的主要作用是避免将敏感信息明文暴露在 Pod 定义或环境变量中。

创建和使用 Secret 的方法

可以通过命令行或 YAML 文件创建 Secret。以下是常见方式：

从字面值创建 Secret

kubectl create secret generic db-secret \
--from-literal=username=alice \
--from-literal=password='s3cr3tP@ss'

从文件创建（更安全）

echo -n 'alice' > ./username
echo -n 's3cr3tP@ss' > ./password
kubectl create secret generic db-secret --from-file=./username --from-file=./password

在 Pod 中使用 Secret 的方式有两种：

• 作为环境变量注入：适合少量配置，但可能被进程列表或日志意外暴露
• 挂载为卷：更安全，推荐方式，文件权限可控

示例：将 Secret 挂载到容器中

加强 Secret 安全的最佳实践

仅仅使用 Secret 并不足以保证安全，还需结合以下措施：

• 启用静态数据加密：配置 kube-apiserver 启用 EncryptionConfiguration，使 Secret 在 etcd 中以加密形式存储
• 严格控制 RBAC 权限：仅允许必要服务账户和用户访问特定 Secret，避免过度授权
• 避免通过环境变量传递敏感数据：环境变量可能被子进程继承或写入日志，优先使用卷挂载
• 定期轮换凭证：配合外部密钥管理系统（如 Hashicorp Vault）实现动态 Secret 注入
• 限制 Secret 访问范围：将 Secret 创建在特定命名空间，避免跨命名空间共享

结合外部工具提升安全性

Kubernetes 原生 Secret 功能有限。生产环境中建议集成外部系统：

• Vault + CSI 驱动：使用 Secrets Store CSI Driver 将 Vault 中的凭据挂载为卷，支持自动同步和轮转
• 使用 GitOps 工具加密管理：如使用 SOPS 或 Sealed Secrets，在 Git 中安全存储加密后的 Secret 配置

Sealed Secrets 允许你在本地加密 Secret，仅能在目标集群解密，适合 CI/CD 流程。

基本上就这些。正确使用 Kubernetes Secret，配合访问控制和外部工具，能显著提升应用的安全性。记住，Base64 不是加密，保护 etcd 和控制访问才是关键。