Istio 是可配置的开源服务网格层,用于连接、监视和保护 Kubernetes 群集中的容器。 Istio 1.3 及更高版本使用 Kubernetes 中名为服务帐户令牌卷投影的功能。 默认情况下,AKS 引擎部署的 Kubernetes 群集中不启用此功能。 在本文中,你可以在 apiServerConfig 元素中找到 API 模型 json 属性,该元素显示为群集启用服务帐户令牌卷投影时所需的 Kubernetes API 服务器标志。
有关服务帐户令牌卷投影的更多信息,请参阅服务帐户令牌卷投影。
启用服务帐户令牌卷投影
若要启用服务帐户令牌卷投影,请将以下设置添加到 API 模型 json 文件。
{
"kubernetesConfig": {
"apiServerConfig": {
"--service-account-api-audiences": "api,istio-ca",
"--service-account-issuer": "kubernetes.default.svc",
"--service-account-signing-key-file": "/etc/kubernetes/certs/apiserver.key"
}
}
}
注意
可能需要根据具体使用情况调整 --service-account-api-audiences 和 --service-account-issuer。
有关完整的示例 API 模型,请参阅 istio.json。