Есть два типа Kubernetes-кластеров.
В первом люди хранят секреты в values.yaml, коммитят .env в Git и называют это “временным решением”.
Во втором - поднимают HashiCorp Vault, настраивают auto unseal, раздают доступ через Kubernetes Auth, а потом спокойно пьют кофе, пока остальные экстренно ротируют токены после очередного “ой”.
Сегодня - как раз про второй вариант.