K8s 多账号密钥治理方案

多账号 K8s 的密钥问题之前普遍靠各集群独立跑 Vault Agent 或手工同步解决，运维复杂度高且容易出漂移。External Secrets Operator 的优势在于原生 K8s 声明式体验，不需要在每个集群里维护 Vault 的 sidecar，和 AWS Secrets Manager、GCP Secret Manager、Azure Key Vault 都有官方集成。

如果你现在用 Vault 但觉得太重，或者在多个云账号之间手动 copy secret 已经出过错，这个 CNCF 沙箱项目值得评估。注意它目前还是沙箱阶段，生产用建议先在小流量环境验证 controller 的稳定性。