Abilitazione della proiezione del volume del token dell'account di servizio per il motore AKS nell'hub Azure StackEnabling service account token volume projection for the AKS engine on Azure Stack Hub

Istio è un livello di mesh del servizio open source configurabile che connette, monitora e protegge i contenitori in un cluster Kubernetes.Istio is a configurable, open source service-mesh layer that connects, monitors, and secures the containers in a Kubernetes cluster. Istio 1,3 e versioni successive usano una funzionalità di Kubernetes denominata proiezione del volume di token dell'account di servizio .Istio 1.3 and higher uses a feature in Kubernetes called service account token volume projection . Questa funzionalità non è abilitata per impostazione predefinita nei cluster Kubernetes distribuiti dal motore AKS.This feature is not enabled by default in Kubernetes clusters deployed by AKS engine. In questo articolo è possibile trovare le proprietà JSON del modello API nell' apiServerConfig elemento che mostra i flag del server dell'API Kubernetes necessari per abilitare la proiezione del volume del token dell'account di servizio per il cluster.In this article, you can find the API model json properties in the apiServerConfig element that shows the Kubernetes API server flags required to enable service account token volume projection for your cluster.

Per ulteriori informazioni sulla proiezione del volume del token dell'account di servizio, vedere proiezione del volume di token dell'account di servizio.For more information about service account token volume projection, see Service Account Token Volume Projection.

Abilitare la proiezione del volume del token dell'account di servizioEnable service account token volume projection

Per abilitare la proiezione del volume del token dell'account di servizio, aggiungere le impostazioni seguenti nel file JSON del modello API.To enable service account token volume projection, add the following settings into your API model json file.

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

Nota

Potrebbe essere necessario modificare --service-account-api-audiences e --service-account-issuer per il caso d'uso specifico.You may have to adjust --service-account-api-audiences and --service-account-issuer to your specific use case.

Per un modello API completo di esempio, vedere istio.js.For a full example API model, refer to istio.json.

Passaggi successiviNext steps