我试图启动一个新的pod,它不会自动包含一个JWT,用于与k8s群集通信。
我已经创建了一个新的服务帐户并尝试删除内置密钥,但每次删除后都会自动重新生成。
根据secrets文档,我应该可以禁用服务帐户的令牌创建。
如果需要,可以禁用或覆盖API凭据的自动创建和使用。
我在哪里/怎么做?
答案 0 :(得分:1)
从控制器管理器中删除--service-account-private-key-file参数将阻止自动创建令牌
删除ServiceAccount准入插件将阻止自动挂载令牌
然而,许多服务可能依赖于那些令牌。如果您担心访问API,通常最好设置除AlwaysAllow之外的授权模式,并使用其中一种模式允许您指定用户可以执行哪些操作的策略