Istio 是一个可配置的开源服务网格层,用于连接、监视和保护 Kubernetes 群集中的容器。 Istio 1.3 及更高版本使用 Kubernetes 中名为服务帐户令牌卷投影的功能。 默认情况下,在 AKS 引擎部署的 Kubernetes 群集中不会启用此功能。 在本文中,你可以在 apiServerConfig 元素中找到 API 模型 json 属性,该元素显示为群集启用服务帐户令牌卷投影时所需的 Kubernetes API 服务器标志。
有关服务帐户令牌卷投影的详细信息,请参阅 服务帐户令牌卷投影。
启用服务帐户令牌卷投影
若要启用服务帐户令牌卷投影,请将以下设置添加到 API 模型 json 文件。
{
"kubernetesConfig": {
"apiServerConfig": {
"--service-account-api-audiences": "api,istio-ca",
"--service-account-issuer": "kubernetes.default.svc",
"--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
}
}
}
注释
您可能需要根据您的具体用例调整 --service-account-api-audiences 和 --service-account-issuer。
有关完整的示例 API 模型,请参阅 istio.json。