我使用Kubernetes ServiceAccount插件自动将ca.crt和令牌注入我的pod。这对于需要访问API服务器的kube2sky等应用程序非常有用。
但是,我运行了数百个不需要此令牌的其他pod。有没有办法阻止ServiceAccount插件将默认令牌注入这些pod(或者,更好的是,默认情况下将其关闭并明确为pod启用它)?
答案 0 :(得分:2)
从Kubernetes 1.6+开始,您现在可以停用Kubernetes Service Accounts documentation
中所述的特定广告连播的自动挂载API凭据apiVersion: v1
kind: Pod
metadata:
name: my-pod
spec:
serviceAccountName: build-robot
automountServiceAccountToken: false
...
答案 1 :(得分:1)
现在,虽然您可以使用ABAC来限制对某些服务帐户的访问权限,但是现在没有办法为某些pod启用服务帐户而不启用其他服务帐户。
http://jkeks.com/archives/53中正在讨论此问题,我们建议您将此问题添加到该问题中,并了解该问题何时实施。