备份和恢复 Kubernetes Serviceaccount Token答案

【问题标题】：Backup and restore a Kubernetes Serviceaccount Token备份和恢复 Kubernetes Serviceaccount Token
【发布时间】：2020-08-05 16:01:55
【问题描述】：

有谁知道是否有办法在 Kubernetes 中备份和恢复始终具有相同令牌的 Serviceaccount？我们经常使用服务帐户令牌（例如，当它们在 Openshift 中充当 oauth 客户端时），如果我们能够复制服务帐户以在它被删除时具有相同的令牌，那就太好了。

我注意到有一种方法可以手动创建服务帐户令牌，如 here 所述。但是，据我所知，这种方法仍然会自动生成秘密内容。

【问题讨论】：

知道之前使用的令牌，只需编辑您的 ServiceAccount 令牌 Secret 之一并重置其值（base64 编码，如果编辑您的 Secret 的 .data，或删除 .data并添加stringData)。再说一次，令牌意味着旋转。能够强迫一个并不意味着你应该。

【解决方案1】：

从根本上复制新服务帐户以拥有相同的旧令牌的能力会带来安全风险。

理想情况下，您应该定期备份 ETCD，该备份将具有秘密令牌以及所有其他 kubernetes 资源。如果发生不可预见的灾难，您可以从备份中恢复 ETCD，您将取回秘密令牌。您也可以使用valero 来备份kubernetes 集群资源。

【讨论】：