Kubernetes 是否可以删除服务帐户令牌卷投影?
我将一个令牌投射到一个pod中,以便使用该令牌对外部系统进行身份验证。我不完全信任可能运行到此pod中的代码,因此我希望使用令牌投影来执行身份验证,然后删除投影的令牌,以便稍后运行的代码无法使用它 删除投影令牌时,我收到一个回答,即文件系统是只读的:Kubernetes 是否可以删除服务帐户令牌卷投影?,kubernetes,Kubernetes,我将一个令牌投射到一个pod中,以便使用该令牌对外部系统进行身份验证。我不完全信任可能运行到此pod中的代码,因此我希望使用令牌投影来执行身份验证,然后删除投影的令牌,以便稍后运行的代码无法使用它 删除投影令牌时,我收到一个回答,即文件系统是只读的: rm: can't remove '/var/run/secrets/tokens/..data': Read-only file system rm: can't remove '/var/run/secrets/tokens/vault-tok
rm: can't remove '/var/run/secrets/tokens/..data': Read-only file system
rm: can't remove '/var/run/secrets/tokens/vault-token': Read-only file system
rm: can't remove '/var/run/secrets/tokens/..2019_12_06_09_50_26.580875372/vault-token': Read-only file system
有没有办法使投影的文件系统可写,或者,一般来说,删除投影的令牌?没有,因为它使用只读ramdisk,所以您无法更改。我不是100%确定这是可能的,但您可以尝试使用initContainer将令牌复制到r/w ramdisk卷,然后完全跳过在主容器中装载令牌卷。Hi,您使用的是什么平台?还有Kubernetes的哪个版本?我在Kubernetes 1.16.3中使用microk8s
apiVersion: settings.k8s.io/v1alpha1
kind: PodPreset
metadata:
name: pod-preset
namespace: my-namespace
spec:
selector:
matchLabels:
my-pod: job
env:
volumeMounts:
- name: token-mounter
mountPath: /var/run/secrets/tokens
readOnly: false
volumes:
- name: token-mounter
projected:
sources:
- serviceAccountToken:
path: vault-token
expirationSeconds: 7200
audience: vault