Habilitación de la proyección de volumen de tokens de cuenta de servicio para el motor de AKS en Azure Stack Hub

Istio es una capa de malla de servicio de código abierto configurable que conecta, supervisa y protege los contenedores en un clúster de Kubernetes. Istio 1.3 y las versiones posteriores usan una característica de Kubernetes llamada Service Account Token Volume Projection. Esta característica no está habilitada de forma predeterminada en los clústeres de Kubernetes implementados por el motor de AKS. En este artículo, puede encontrar las propiedades JSON del modelo de API en el elemento apiServerConfig que muestra las marcas de servidor de la API de Kubernetes necesarias para habilitar la característica Service Account Token Volume Projection para el clúster.

Para obtener más información acerca de la característica Service Account Token Volume Projection, consulte Service Account Token Volume Projection.

Habilitación de la característica Service Account Token Volume Projection

Para habilitar la característica Service Account Token Volume Projection, agregue la configuración siguiente al archivo JSON del modelo de API.

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

Nota:

Es posible que tenga que ajustar --service-account-api-audiences y --service-account-issuer a su caso de uso específico.

Para obtener un modelo de API de ejemplo completo, consulte istio.json.

Pasos siguientes

• Obtenga información sobre el motor de AKS en Azure Stack Hub.
• Actualización de un clúster de Kubernetes en Azure Stack Hub