为 Azure Stack Hub 上的 AKS 引擎启用服务帐户令牌卷投影

Istio 是可配置的开源服务网格层,用于连接、监视和保护 Kubernetes 群集中的容器。 Istio 1.3 及更高版本使用 Kubernetes 中名为服务帐户令牌卷投影的功能。 默认情况下,AKS 引擎部署的 Kubernetes 群集中不启用此功能。 在本文中,你可以在 apiServerConfig 元素中找到 API 模型 json 属性,该元素显示为群集启用服务帐户令牌卷投影时所需的 Kubernetes API 服务器标志。

有关服务帐户令牌卷投影的更多信息,请参阅服务帐户令牌卷投影

启用服务帐户令牌卷投影

若要启用服务帐户令牌卷投影,请将以下设置添加到 API 模型 json 文件。

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

注意

可能需要根据具体使用情况调整 --service-account-api-audiences--service-account-issuer

有关完整的示例 API 模型,请参阅 istio.json

后续步骤