痛点
GitOps 工作流要求「一切皆代码、一切进 Git」,但 Kubernetes Secret、数据库密码、API Token 这类敏感信息怎么办?直接明文提交是安全事故的温床;用 Vault 全托管又引入额外基础设施和运维成本。
现实中最常见的反模式:
.env文件写入.gitignore,部署时手动拷贝 —— 无法审计变更历史- Secret 经 CI 变量注入,YAML 里留占位符 —— 本地调试困难、CI 平台成为单点
- 直接把 base64 编码(≠加密)后的 Secret 推进仓库 —— 等于裸奔
SOPS(Secrets OPerationS)+ age 组合恰好...