次の方法で共有

Azure Stack Hub での AKS エンジンのサービス アカウント トークン ボリューム プロジェクションの有効化

  • [アーティクル]

Istio は、Kubernetes クラスター内のコンテナーを接続、監視、セキュリティで保護する、構成可能なオープン ソースのサービス メッシュ レイヤーです。 Istio 1.3 以降では、サービス アカウント トークン ボリューム プロジェクションと呼ばれる Kubernetes の機能が使用されています。 この機能は、AKS エンジンによってデプロイされた Kubernetes クラスターでは、既定では有効になっていません。 この記事では、クラスターのサービス アカウント トークン ボリューム プロジェクションを有効にするために必要な Kubernetes API サーバー フラグを示す、apiServerConfig 要素の API モデルの json プロパティを確認できます。

サービス アカウント トークン ボリューム プロジェクションの詳細については、「サービス アカウント トークン ボリューム プロジェクション 」を参照してください。

サービス アカウント トークンボリュームプロジェクションを有効にする

サービス アカウント トークン ボリューム プロジェクションを有効にするには、API モデルの json ファイルに次の設定を追加します。

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

手記

特定のユース ケースに合わせて --service-account-api-audiences--service-account-issuer を調整する必要がある場合があります。

完全な API モデルの例については、istio.jsonを参照してください。

次の手順

  • Azure Stack Hub 上の AKS エンジンについて説明します
  • Azure Stack Hub で Kubernetes クラスターをアップグレードする