Kubernetes 如何避免将默认机密附加到ServiceAccount?
我正在尝试创建一个没有秘密或只是我指定的秘密的服务帐户,而kubelet似乎总是附加默认的秘密 服务帐户定义 提交Kubernetes 如何避免将默认机密附加到ServiceAccount?,kubernetes,Kubernetes,我正在尝试创建一个没有秘密或只是我指定的秘密的服务帐户,而kubelet似乎总是附加默认的秘密 服务帐户定义 提交 $ kubectl create -f service-account.yaml serviceaccount "test" created $ kubectl get -o=yaml serviceaccount test apiVersion: v1 automountServiceAccountToken: false kind: ServiceAccount metada
$ kubectl create -f service-account.yaml
serviceaccount "test" created
$ kubectl get -o=yaml serviceaccount test
apiVersion: v1
automountServiceAccountToken: false
kind: ServiceAccount
metadata:
creationTimestamp: 2017-05-30T12:25:30Z
name: test
namespace: default
resourceVersion: "31414"
selfLink: /api/v1/namespaces/default/serviceaccounts/test
uid: 122b0643-4533-11e7-81c6-42010a8a005b
secrets:
- name: default-token-4pbsm
- name: test-token-5g3wb
获取
$ kubectl create -f service-account.yaml
serviceaccount "test" created
$ kubectl get -o=yaml serviceaccount test
apiVersion: v1
automountServiceAccountToken: false
kind: ServiceAccount
metadata:
creationTimestamp: 2017-05-30T12:25:30Z
name: test
namespace: default
resourceVersion: "31414"
selfLink: /api/v1/namespaces/default/serviceaccounts/test
uid: 122b0643-4533-11e7-81c6-42010a8a005b
secrets:
- name: default-token-4pbsm
- name: test-token-5g3wb
如上所示,test-token-5g3wb
是自动创建并附加到服务帐户的,我没有指定它
据我所知,automountServiceAccountToken
仅影响将这些机密装载到通过该服务帐户启动的pod。(?)
我有没有办法避免创建和附加默认机密
版本
您对
automountServiceAccountToken
的理解是正确的,因为pod即将启动
自动令牌添加由令牌控制器完成。即使您编辑配置以删除令牌,它也将再次添加
您必须使用--服务帐户私钥文件
选项将服务帐户私钥文件传递给控制器管理器中的令牌控制器。私钥将用于对生成的服务帐户令牌进行签名。同样,您必须使用--服务帐户密钥文件
选项将相应的公钥传递给kube apiserver。公钥将用于在身份验证期间验证令牌
以上内容摘自k8s。所以试着不要传递那些旗帜,但不知道如何传递。但我不建议这样做
你也可能会有所帮助