在 Kubernetes 集群中管理 OpenAI API 密钥，最推荐的做法是使用 Kubernetes Secrets 对象并结合静态加密（Encryption at Rest），或者通过外部秘密管理工具（如 External Secrets Operator）对接云厂商密钥服务。适用场景为生产环境部署，风险边界在于默认 Secrets 仅 base64 编码而非加密，需防止 etcd 数据泄露。

命令速用版

使用 kubectl 命令行创建 Secret 对象，并通过环境变量注入到 Pod 中。

kubectl create secret generic openai-secret `--from-literal`=API_KEY=sk-your-key-here

在 Deployment 中引用该 Secret：

env:
  - name: OPENAI_API_KEY
    valueFrom:
      secretKeyRef:
        name: openai-secret
        key: API_KEY

为什么会这样

Kubernetes 默认的 Secret 对象仅进行 base64 编码，不具备保密性，任何能访问 etcd 或具有 get secrets 权限的用户均可解码获取明文。OpenAI API 密钥属于高敏感凭证，泄露会导致额度被盗用或产生高额费用。因此必须配合集群静态加密或外部密钥管理方案，确保存储和传输过程中的机密性。

分步处理

第一步：创建 Secret 对象。避免在命令行历史中保留明文，建议使用文件方式创建。

echo -n 'sk-your-key-here' > ./api_key.txt
kubectl create secret generic openai-secret `--from-file`=API_KEY=./api_key.txt
rm ./api_key.txt

第二步：在 workload 中挂载 Secret。推荐使用环境变量或只读卷挂载，避免写入容器本地磁盘。

第三步：配置 RBAC 权限。限制只有特定 ServiceAccount 可以访问该 Secret，禁止默认 SA 拥有 secrets 列表权限。

怎么验证是否生效

进入运行中的 Pod 检查环境变量是否包含密钥，同时尝试从集群外部或未授权账户读取 Secret。

kubectl exec -it <pod-name> -- env | grep OPENAI
kubectl get secret openai-secret -o jsonpath='{.data.API_KEY}' | base64 -d

验证结果应为：Pod 内可见明文密钥，未授权用户执行 get secret 命令被拒绝或仅看到密文数据（若开启加密）。

常见坑

第一，将 Secret 配置文件提交到 Git 仓库。即使 base64 编码也可轻易还原，必须将包含 secret 数据的 yaml 文件加入 .gitignore。

第二，应用程序日志打印密钥。部分调试日志可能意外输出环境变量，需在代码层过滤敏感字段。

第三，RBAC 权限过大。cluster-admin 或拥有 secrets 列表权限的角色均可查看所有命名空间的密钥，需按最小权限原则分配。

常见问题

如何轮换泄露的 OpenAI API 密钥？

直接在 OpenAI 平台撤销旧密钥并生成新密钥，然后在 Kubernetes 中更新 Secret 对象并重启 Pod。

Kubernetes Secrets 默认加密吗？

不加密，默认仅 base64 编码，必须在 API Server 配置中启用 EncryptionConfiguration 才能实现 etcd 静态加密。

可以使用外部密钥管理服务吗？

可以，推荐使用 External Secrets Operator 对接 AWS Secrets Manager 或 HashiCorp Vault，避免密钥出现在集群内部。

参考来源

• Kubernetes Official Documentation, "Secrets", https://kubernetes.io/docs/concepts/configuration/secret/
• OpenAI Platform, "API Keys", https://platform.openai.com/api-keys
• External Secrets Operator, "Introduction", https://external-secrets.io/