Projectie van serviceaccount-tokenvolume inschakelen voor de AKS-engine op Azure Stack Hub

  • Artikel
  • 2 minuten om te lezen

Istio is een configureerbare, open source service-mesh-laag die de containers in een Kubernetes-cluster verbindt, bewaakt en beveiligt. Istio 1.3 en hoger maakt gebruik van een functie in Kubernetes die projectie van het serviceaccounttokenvolume wordt genoemd. Deze functie is niet standaard ingeschakeld in Kubernetes-clusters die zijn geïmplementeerd door de AKS-engine. In dit artikel vindt u de JSON-eigenschappen van het API-model in apiServerConfig het -element waarin de Kubernetes API-servervlaggen worden weer gegeven die vereist zijn voor het inschakelen van de volumeprojectie van het serviceaccounttoken voor uw cluster.

Zie Projectie van serviceaccount-tokenvolume voor meer informatie over de projectie van het serviceaccount-tokenvolume.

Projectie van serviceaccount-tokenvolume inschakelen

Als u projectie van het tokenvolume van het serviceaccount wilt inschakelen, voegt u de volgende instellingen toe aan het JSON-bestand van uw API-model.

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

Notitie

Mogelijk moet u en aanpassen --service-account-api-audiences aan --service-account-issuer uw specifieke use-case.

Raadpleeg istio.json voor een volledig voorbeeld van een API-model.

Volgende stappen