ConfigMap хранит конфигурацию в виде пар ключ-значение или файлов (plain text). Secret предназначен для чувствительных данных (пароли, токены, ключи); значения хранятся в base64 (это не шифрование - только кодирование).

Использование в поде

env:
  - name: DB_PASSWORD
    valueFrom:
      secretKeyRef:
        name: db-secret
        key: password
volumeMounts:
  - name: config
    mountPath: /etc/config
    readOnly: true
volumes:
  - name: config
    configMap:
      name: app-config

Для реального шифрования секретов в etcd нужен EncryptionConfiguration или внешнее хранилище (Vault). Secret и ConfigMap можно монтировать как переменные окружения или как файлы.