Aktivieren der Volumeprojektion des Dienstkontotokens für die AKS-Engine in Azure Stack Hub

Istio ist eine konfigurierbare Open-Source-Dienst-Mesh-Ebene, mit der die Container in einem Kubernetes-Cluster verbunden, überwacht und gesichert werden. Istio 1.3 und höher verwenden eine Funktion in Kubernetes, die als Dienstkontotoken-Volumeprojektion bezeichnet wird. Diese Funktion ist in Kubernetes-Clustern, die von der AKS-Engine bereitgestellt werden, nicht standardmäßig aktiviert. In diesem Artikel finden Sie die JSON-Eigenschaften für das API-Modell im apiServerConfig-Element, das die Kubernetes-API-Serverflags zeigt, die zum Aktivieren der Dienstkontotoken-Volumeprojektion für Ihren Cluster erforderlich sind.

Weitere Informationen zur Dienstkontotoken-Volumeprojektion finden Sie unter Dienstkontotoken-Volumeprojektion.

Aktivieren der Volumenprojektion für Dienstkontotoken

Um die Dienstkontotoken-Volumeprojektion zu aktivieren, fügen Sie die folgenden Einstellungen in Ihrer JSON-Datei des API-Modells hinzu.

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

Hinweis

Möglicherweise müssen Sie --service-account-api-audiences und --service-account-issuer an Ihren spezifischen Anwendungsfall anpassen.

Ein vollständiges API-Beispielmodell finden Sie unter istio.json.

Nächste Schritte

• Informationen zur AKS-Engine in Azure Stack Hub
• Aktualisieren eines Kubernetes-Clusters in Azure Stack Hub