Резервное копирование ключей Sealed Secrets

По умолчанию примерно раз в год (если не изменять параметр --key-renew-period) контроллер Sealed Secrets сгенерирует новую пару ключей, которая будет использоваться для шифрования новых секретов.

Для резервного копирования или переноса ключей на другой кластер необходимо сохранить все секреты, которые использует контроллер. Они помечены меткой sealedsecrets.bitnami.com/sealed-secrets-key:

kubectl get secret -n kube-system -l sealedsecrets.bitnami.com/sealed-secrets-key -o yaml