Kubernetes 如何避免将默认机密附加到ServiceAccount？_Kubernetes

Kubernetes 如何避免将默认机密附加到ServiceAccount？

kubernetes

Kubernetes 如何避免将默认机密附加到ServiceAccount？,kubernetes,Kubernetes,我正在尝试创建一个没有秘密或只是我指定的秘密的服务帐户，而kubelet似乎总是附加默认的秘密服务帐户定义提交 $ kubectl create -f service-account.yaml serviceaccount "test" created $ kubectl get -o=yaml serviceaccount test apiVersion: v1 automountServiceAccountToken: false kind: ServiceAccount metada

我正在尝试创建一个没有秘密或只是我指定的秘密的服务帐户，而kubelet似乎总是附加默认的秘密

服务帐户定义提交

$ kubectl create -f service-account.yaml
serviceaccount "test" created

$ kubectl get -o=yaml serviceaccount test
apiVersion: v1
automountServiceAccountToken: false
kind: ServiceAccount
metadata:
  creationTimestamp: 2017-05-30T12:25:30Z
  name: test
  namespace: default
  resourceVersion: "31414"
  selfLink: /api/v1/namespaces/default/serviceaccounts/test
  uid: 122b0643-4533-11e7-81c6-42010a8a005b
secrets:
- name: default-token-4pbsm
- name: test-token-5g3wb

获取

$ kubectl create -f service-account.yaml
serviceaccount "test" created

$ kubectl get -o=yaml serviceaccount test
apiVersion: v1
automountServiceAccountToken: false
kind: ServiceAccount
metadata:
  creationTimestamp: 2017-05-30T12:25:30Z
  name: test
  namespace: default
  resourceVersion: "31414"
  selfLink: /api/v1/namespaces/default/serviceaccounts/test
  uid: 122b0643-4533-11e7-81c6-42010a8a005b
secrets:
- name: default-token-4pbsm
- name: test-token-5g3wb

如上所示，

test-token-5g3wb

是自动创建并附加到服务帐户的，我没有指定它

据我所知，

automountServiceAccountToken

仅影响将这些机密装载到通过该服务帐户启动的pod。（？）

我有没有办法避免创建和附加默认机密

版本

您对

automountServiceAccountToken

的理解是正确的，因为pod即将启动

自动令牌添加由令牌控制器完成。即使您编辑配置以删除令牌，它也将再次添加

您必须使用--服务帐户私钥文件
选项将服务帐户私钥文件传递给控制器管理器中的令牌控制器。私钥将用于对生成的服务帐户令牌进行签名。同样，您必须使用--服务帐户密钥文件
选项将相应的公钥传递给kube apiserver。公钥将用于在身份验证期间验证令牌

以上内容摘自k8s。所以试着不要传递那些旗帜，但不知道如何传递。但我不建议这样做

你也可能会有所帮助