Sealed Secrets — контроллер от Bitnami для хранения зашифрованных секретов в Git. kubeseal шифрует Secret с публичным ключом контроллера, создавая SealedSecret ресурс. Только контроллер внутри кластера может расшифровать обратно в Secret. Позволяет хранить секреты в GitOps репозитории безопасно. Минусы: привязка к конкретному кластеру, ротация master ключа сложна. Альтернативы: External Secrets Operator (ESO) с Vault/AWS.

Как работает node affinity и в чём разница с nodeSelector?

Что такое Sealed Secrets для Kubernetes?