Início / server / Perguntas / 1164636
Accepted
Bob5421
Asked: 2024-09-01 14:59:19 +0800 CST

Token JWT associado a uma conta de serviço k8s

  • 772

Veja este manifesto yaml:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: myserviceaccount
  namespace: default
---
apiVersion: v1
kind: Secret
metadata:
  name: myserviceaccount-token
  namespace: default
  annotations:
    kubernetes.io/service-account.name: myserviceaccount
type: kubernetes.io/service-account-token

Eu aplico este manifesto no meu cluster k8s:

$ kubectl apply -f myserviceaccount.yaml

Quando tento este comando:

$ kubectl -n default get service account/myserviceaccount

-> Vejo 0 segredos contados

Eu deveria ver pelo menos 1 segredo para myserviceaccount-token. Por que não vejo esse segredo?

Obrigado

kubernetes

1 respostas

  1. Best Answer

    De acordo com este blog Medium de LU Andy

    • A partir do Kubernetes versão 1.24, os tokens padrão criados pelo Kubernetes para SAs não são mais de longa duração. Apenas o recurso de conta de serviço é criado.
    • Os tokens SA legados têm vida longa, o que significa que esses tokens NUNCA expiram. A menos que você exclua as contas de serviço, o controlador de token do Kubernetes excluirá todos os objetos secretos de token SA correspondentes.

    De acordo com este link do Github

    O recurso LegacyServiceAccountTokenNoAutoGeneration é beta e habilitado por padrão. Quando habilitado, os objetos da Secret API que contêm tokens de conta de serviço não são mais gerados automaticamente para cada ServiceAccount. Use a TokenRequest API para adquirir tokens de conta de serviço ou, se um token que não expira for necessário, crie um objeto da Secret API para o controlador de token preencher com um token de conta de serviço seguindo este guia. (#108309, @zshihang)

    Como você está usando uma versão 1.24 ou superior, esse é o motivo pelo qual myserviceaccount-token não será gerado automaticamente. Há muitas abordagens para adquirir um token para sua conta de serviço no k8s 1.24 ou superior. Você precisa usar um dos métodos descritos no blog Medium acima para solicitar um token.

    • 0

relate perguntas