External-Secrets v0.11.0 版本重大变更解析

核心变更概述

External-Secrets 项目在 v0.11.0 版本中引入了几项关键性变更，这些变更主要围绕 Kubernetes API 负载优化、密钥管理策略调整以及 CRD 验证增强三个方面。作为 Kubernetes 生态中管理外部密钥的重要组件，这些变更将直接影响用户现有的密钥管理方式。

API 调用优化与性能改进

新版本通过重构外部密钥的协调机制，显著减少了对 Kubernetes API 服务器的调用次数。这一优化带来了两个主要影响：

1. 内存使用变化：未启用 --enable-secrets-caching 的用户可能会观察到内存使用量增加。对于已启用该选项的用户，可以通过禁用此标志并仅启用 --enable-managed-secrets-caching（新版本默认）来降低内存消耗。

2. 密钥清理行为：无论 CreationPolicy 设置为 Merge 还是其他值，如果目标 Secret 中的数据键由 ExternalSecret 创建但已不再存在于模板中，这些键将被自动移除。这一变更使得密钥管理行为更加明确和一致。

密钥管理策略变更

v0.11.0 版本对密钥管理策略进行了重要调整：

1. Owner 策略变更：当 CreationPolicy 设置为 Owner 时，系统将在每次循环中完全计算目标 Secret 的"期望状态"，不再保留任何非预期的键。这意味着升级后某些密钥可能会丢失部分数据。

2. Merge 策略行为：新版本明确了 Merge 策略的行为规范，解决了之前版本中存在的未定义行为和潜在问题。

3. Orphan 策略注意事项：Orphan 策略现在与 Owner 策略具有相同的行为（但不设置 OwnerReference），每次刷新都会移除非 ExternalSecret 创建的键。用户需要特别注意避免多个 Orphan 策略的 ExternalSecret 管理同一个目标 Secret 的情况。

生成器功能增强

新版本引入了 ClusterGenerators 和 Generator 缓存机制：

1. ClusterGenerators：新增了集群级别的生成器支持，提供了更灵活的密钥生成方式。

2. Generator 缓存：通过引入缓存机制，提高了生成器操作的效率，但同时也改变了生成器的定义方式。

CRD 验证强化

所有 CRD 现在都配备了完整的 kubebuilder 验证标记：

1. 严格验证：系统现在会对所有必填字段和格式要求进行严格验证，确保资源配置的正确性。

2. 兼容性影响：之前版本中某些非正式要求但实际必需的字段配置，现在会被明确验证，可能导致部分现有配置无法通过验证。

实践建议

针对这些变更，我们建议用户：

1. 仔细检查所有使用多个 ExternalSecret 管理同一个 Secret 的情况，确保正确设置 CreationPolicy。

2. 对于需要合并多个来源的密钥，考虑使用单个 ExternalSecret 结合多个 SecretStore 的方式。

3. 升级前全面评估密钥清理行为对现有系统的影响。

4. 对于使用生成器的场景，检查并调整生成器配置以适应新的缓存机制。

5. 验证所有 CRD 配置是否符合新的验证规则。

这些变更加强了 External-Secrets 的稳定性和可预测性，虽然需要一定的迁移成本，但将为用户提供更加可靠和高效的密钥管理体验。