Habilitando a projeção do volume do token da conta de serviço para o mecanismo AKS no Hub Azure StackEnabling service account token volume projection for the AKS engine on Azure Stack Hub

İSTİO é uma camada de malha de serviço de código aberto configurável que conecta, monitora e protege os contêineres em um cluster kubernetes.Istio is a configurable, open source service-mesh layer that connects, monitors, and secures the containers in a Kubernetes cluster. O İSTİO 1,3 e superior usa um recurso no kubernetes chamado projeção do volume de token da conta de serviço .Istio 1.3 and higher uses a feature in Kubernetes called service account token volume projection . Esse recurso não está habilitado por padrão em clusters kubernetes implantados pelo mecanismo AKS.This feature is not enabled by default in Kubernetes clusters deployed by AKS engine. Neste artigo, você pode encontrar as propriedades JSON do modelo de API no apiServerConfig elemento que mostra os sinalizadores do servidor de API kubernetes necessários para habilitar a projeção do volume de token da conta de serviço para o cluster.In this article, you can find the API model json properties in the apiServerConfig element that shows the Kubernetes API server flags required to enable service account token volume projection for your cluster.

Para obter mais informações sobre a projeção do volume do token da conta de serviço, consulte projeção do volume do token da contaFor more information about service account token volume projection, see Service Account Token Volume Projection.

Habilitar projeção do volume do token da conta de serviçoEnable service account token volume projection

Para habilitar a projeção do volume do token da conta de serviço, adicione as seguintes configurações ao seu arquivo JSON do modelo de API.To enable service account token volume projection, add the following settings into your API model json file.

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

Observação

Talvez você precise ajustar --service-account-api-audiences e --service-account-issuer para seu caso de uso específico.You may have to adjust --service-account-api-audiences and --service-account-issuer to your specific use case.

Para obter um modelo de API de exemplo completo, consulte istio.jsem.For a full example API model, refer to istio.json.

Próximas etapasNext steps