Volumeprojectie van serviceaccounttoken inschakelen voor AKS-engine in Azure Stack Hub

Istio is een configureerbare opensource-service-mesh-laag die de containers in een Kubernetes-cluster verbindt, bewaakt en beveiligt. Istio 1.3 en hoger maakt gebruik van een functie in Kubernetes genaamd serviceaccount-tokenvolumeprojectie. Deze functie is niet standaard ingeschakeld in Kubernetes-clusters die zijn geïmplementeerd door de AKS-engine. In dit artikel vindt u de JSON-eigenschappen van het API-model in het element apiServerConfig met de Kubernetes API-servervlagken die vereist zijn om projectie van het tokenvolume van het serviceaccount voor uw cluster in te schakelen.

Voor meer informatie over de projectie van het serviceaccount-tokenvolume, zie Serviceaccount-Tokenvolumeprojectie.

Volumeprojectie van serviceaccounttoken inschakelen

Als u projectie van het tokenvolume van het serviceaccount wilt inschakelen, voegt u de volgende instellingen toe aan het JSON-bestand van uw API-model.

{
    "kubernetesConfig": {
        "apiServerConfig": {
            "--service-account-api-audiences": "api,istio-ca",
            "--service-account-issuer": "kubernetes.default.svc",
            "--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
        }
    }
}

Notitie

Mogelijk moet u --service-account-api-audiences en --service-account-issuer aanpassen aan uw specifieke use case.

Raadpleeg istio.jsonvoor een volledig api-voorbeeldmodel.

Volgende stappen

• Meer informatie over de AKS-engine in Azure Stack Hub
• een Kubernetes-cluster upgraden in Azure Stack Hub