Volumeprojectie van serviceaccounttoken inschakelen voor AKS-engine in Azure Stack Hub

Istio is een configureerbare, open source service-mesh-laag die de containers in een Kubernetes-cluster verbindt, bewaakt en beveiligt. Istio 1.3 en hoger maakt gebruik van een functie in Kubernetes die serviceaccounttokenvolumeprojectie wordt genoemd. Deze functie is niet standaard ingeschakeld in Kubernetes-clusters die zijn geïmplementeerd door de AKS-engine. In dit artikel vindt u de json-eigenschappen van het API-model in het -element dat de apiServerConfig Kubernetes API-servervlagmarkeringen weergeeft die vereist zijn voor het inschakelen van tokenvolumeprojectie voor het serviceaccount voor uw cluster.

Zie Tokenvolumeprojectie van serviceaccounttoken voor meer informatie over volumeprojectie van serviceaccounttokenvolumes.

Volumeprojectie van serviceaccounttoken inschakelen

Als u volumeprojectie van serviceaccounttoken wilt inschakelen, voegt u de volgende instellingen toe aan het JSON-bestand van uw API-model.

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

Notitie

Mogelijk moet u en --service-account-issuer aanpassen --service-account-api-audiences aan uw specifieke gebruiksscenario.

Raadpleeg istio.json voor een volledig voorbeeld van een API-model.

Volgende stappen

• Meer informatie over de AKS-engine in Azure Stack Hub
• Een Kubernetes-cluster op Azure Stack Hub bijwerken