К сожалению далеко не все микросервисы умеют на лету перечитывать токен и скорее всего вам потребуется вручную перезапустить контейнеры, где они используются:
Тут не верное рассуждение, и наверное лучше поправить в статье. Когда генерируется новый токен для сервис акаунта то создаётся новый секрет, который должен быть примонтирован в под. Для пода эти поля являются неизменяемые. И только в момент создания пода, ServiceAccount Admission Controller прописывает секрет с токеном от ServiceAccount в под. Поэтому вам в любом случае необходимо удалить все поды, чтобы пересоздать их. Это всё верно если не используется фича BoundServiceAccountTokenVolume, и я не уверен, что её сейчас кто-то использует, т.к. она до сих пор в альфе.
Очень хочется видеть ссылки на официальный сайт и на исходный код.
Тут не верное рассуждение, и наверное лучше поправить в статье. Когда генерируется новый токен для сервис акаунта то создаётся новый секрет, который должен быть примонтирован в под. Для пода эти поля являются неизменяемые. И только в момент создания пода, ServiceAccount Admission Controller прописывает секрет с токеном от ServiceAccount в под. Поэтому вам в любом случае необходимо удалить все поды, чтобы пересоздать их. Это всё верно если не используется фича BoundServiceAccountTokenVolume, и я не уверен, что её сейчас кто-то использует, т.к. она до сих пор в альфе.