Резервное копирование ключей Sealed Secrets
Важно
Бекапы ключей делать обязательно! Disaster recovery иначе будет невозможен.
По умолчанию примерно раз в год (если не изменять параметр --key-renew-period) контроллер Sealed Secrets сгенерирует новую пару ключей, которая будет использоваться для шифрования новых секретов.
Для резервного копирования или переноса ключей на другой кластер необходимо сохранить все секреты, которые использует контроллер. Они помечены меткой (label) sealedsecrets.bitnami.com/sealed-secrets-key:
kubectl get secret -n kube-system -l sealedsecrets.bitnami.com/sealed-secrets-key -o yamlНо возникает вопрос по безопасному хранению самих бекапов. И скорости их восстановления в случае инцидента.