📚 云原生配置 & 密钥实战
30章 · 从入门到专家
友好色系
1
云原生概述
云原生定义 · CNCF全景图 · 配置与密钥安全
2
ConfigMap基础
概念 · kubectl create/literal/file · 查看更新
3
ConfigMap实战
环境变量 · 卷挂载 · 热更新机制
4
Secret基础
概念 · Opaque/SA/dockerconfigjson · 编解码
5
Secret实战
Pod挂载 · 私有镜像仓库认证 · TLS证书
6
ConfigMap & Secret最佳实践
命名规范 · 版本管理 · 不可变配置 · 防泄露
7
Helm配置管理
Helm基础 · Chart结构 · Values.yaml · 模板注入
8
Helm Secrets
插件 · 加密Values · GitOps密钥管理
9
Kustomize配置管理
基础 · overlay/base · Secret/ConfigMapGenerator
10
Sealed Secrets
原理 · 安装使用 · GitOps安全存储密钥
11
External Secrets Operator
ESO架构 · AWS/Azure/GCP密钥管理
12
Vault基础
HashiCorp Vault · 部署模式 · KV · 认证方式
13
Vault动态密钥
数据库动态凭据 · AWS IAM · PKI证书签发
14
Vault Agent与Sidecar
注入模式 · 模板渲染 · 自动轮换
15
Vault与Kubernetes集成
CSI Provider · Secret Store CSI · Pod身份认证
16
密钥轮换策略
手动/自动轮换 · 零停机 · 轮换审计
17
配置加密标准
SOPS · age加密 · GPG · Git集成
18
GitOps中的密钥管理
ArgoCD/Flux · Sealed Secrets · Vault集成
19
策略即代码 (OPA/Gatekeeper)
OPA基础 · 约束模板 · ConfigMap合规检查
20
密钥审计与监控
审计日志 · Falco检测 · Prometheus监控过期
21
服务网格配置管理
Istio配置 · Envoy动态配置 · mTLS证书
22
多集群配置管理
KubeFed · Cluster API · ConfigMap/Secret同步
23
配置版本控制与回滚
Git配置源 · 版本管理 · 金丝雀发布
24
边缘场景配置管理
边缘节点 · 离线密钥分发 · 轻量级Secret
25
合规与法规
GDPR · SOC2 · PCI DSS · 审计证据
26
安全开发流程 (DevSecOps)
密钥扫描 · CI/CD集成 · 预提交钩子
27
容器镜像安全
Cosign签名 · Trivy扫描 · SBOM · 安全基线
28
零信任架构中的配置
SPIFFE/SPIRE · 工作负载身份 · 动态授权
29
灾难恢复与备份
Vault备份 · ConfigMap备份 · 跨区域复制
30
总结与展望
课程回顾 · 机密计算/无服务器密钥 · 学习路径