Kubernetes 操作员在自定义资源中接收机密的最佳做法

我在谷歌上找不到任何答案，但我可能只是不知道该搜索什么词

在CRD中，是否有办法在规范中定义一个秘密字段（因此不应以纯文本形式存储）？例如，如果自定义资源需要包含一个API令牌，您如何在CRD中定义它

我的一个想法是让用户在CRD之外创建一个秘密，然后在自定义资源字段中提供该秘密的名称，这样操作员可以在需要时根据需要从K8s API中查询该秘密（显然需要配置相关的RBAC，以便操作员能够读取该秘密）。因此CRD中的字段将只是一个普通字符串，即目标机密的名称

---

但是有更好的办法吗？任何现有的与此相关的最佳实践？

您确实只需将值存储在一个实际的秘密中并引用它。在K8上你会发现同样的图案。然后在控制器代码中获得自定义对象，找到ref，获得该机密，然后获得数据。

您确实只需将值存储在实际机密中并引用它。在K8上你会发现同样的图案。然后在你的控制器代码中，你得到你的自定义对象，找到ref，得到那个秘密，然后你就有了你的数据