在 Azure Stack Hub 上啟用 AKS 引擎的服務帳戶權杖磁片區投影

Istio 是可設定的開放原始碼服務網格層，可連線、監視及保護 Kubernetes 叢集中的容器。 Istio 1.3 和更新版本會使用 Kubernetes 的服務帳戶權杖磁碟區投影功能。 在 AKS 引擎所部署的 Kubernetes 叢集中，系統不會依預設啟用這項功能。 在本文中，您可以在 apiServerConfig 元素中找到 API 模型的 json 屬性，其會顯示所需的 Kubernetes API 伺服器旗標，以針對叢集啟用服務帳戶權杖磁碟區投影。

如需服務帳戶權杖磁碟區投影的詳細資訊，請參閱服務帳戶權杖磁碟區投影。

啟用服務帳戶權杖磁碟區投影

若要啟用服務帳戶權杖磁碟區投影，請將下列設定新增至 API 模型的 json 檔案。

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

注意

您可能必須針對特定的使用案例，來調整 --service-account-api-audiences 和 --service-account-issuer。

如需 API 模型的完整範例，請參閱 istio.json。

後續步驟

• 閱讀 Azure Stack Hub 上的 AKS 引擎
• 升級 Azure Stack Hub 上的 Kubernetes 叢集