Habilitação da projeção do volume de token da conta de serviço para o motor AKS no Azure Stack HubEnabling service account token volume projection for the AKS engine on Azure Stack Hub

Istio é uma camada de malha de serviço de código aberto configurável que conecta, monitoriza e protege os contentores num cluster Kubernetes.Istio is a configurable, open source service-mesh layer that connects, monitors, and secures the containers in a Kubernetes cluster. Istio 1.3 e mais alto utiliza uma funcionalidade em Kubernetes chamada projeção de volume de ficha de conta de serviço .Istio 1.3 and higher uses a feature in Kubernetes called service account token volume projection . Esta funcionalidade não é ativada por padrão nos clusters Kubernetes implantados pelo motor AKS.This feature is not enabled by default in Kubernetes clusters deployed by AKS engine. Neste artigo, pode encontrar as propriedades do modelo API json no apiServerConfig elemento que mostra as bandeiras do servidor API de Kubernetes necessárias para ativar a projeção de volume de ficha de conta de serviço para o seu cluster.In this article, you can find the API model json properties in the apiServerConfig element that shows the Kubernetes API server flags required to enable service account token volume projection for your cluster.

Para obter mais informações sobre a projeção do volume de fichas de conta de serviço, consulte a projeção do volume de token da conta de serviço.For more information about service account token volume projection, see Service Account Token Volume Projection.

Ativar a projeção do volume de token da conta de serviçoEnable service account token volume projection

Para ativar a projeção do volume de fichas de conta de serviço, adicione as seguintes definições no seu ficheiro Json modelo API.To enable service account token volume projection, add the following settings into your API model json file.

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

Nota

Poderá ter de se ajustar --service-account-api-audiences e ao seu caso de --service-account-issuer utilização específico.You may have to adjust --service-account-api-audiences and --service-account-issuer to your specific use case.

Para um modelo API de exemplo completo, consulte istio.jsem.For a full example API model, refer to istio.json.

Próximas etapasNext steps