Kubernetes pod secrets / var / run / secrets missing

Question

TL; DR：

通过terraform创建的Kubernetes pod没有/var/run/secrets文件夹，但是根据hello-minikube教程创建的pod确实 - 为什么会这样，我该如何修复它

动机：我需要traefik才能与k8s群集交谈。

详细信息

我已经设置了一个带有minikube的本地Kubernetes集群，并设置了terraform来处理该集群。

要设置traefik，您需要创建Ingress和Deployment not yet supported by terraform。基于该问题中发布的解决方法，我使用更简单的模块通过terraform执行yaml文件：

# A tf-module that can create Kubernetes resources from YAML file descriptions.
variable "name" {}
variable "file_name" { }
resource "null_resource" "kubernetes_resource" {
  triggers {
    configuration = "${var.file_name}"
  }
  provisioner "local-exec" {
    command = "kubectl apply -f ${var.file_name}"
  }
}

以这种方式创建的资源在k8s仪表板中正确显示。

但是，入口控制器的pod记录：

time="2017-12-30T13:49:10Z" 
level=error 
msg="Error starting provider *kubernetes.Provider: failed to create in-cluster
    configuration: open /var/run/secrets/kubernetes.io/serviceaccount/token:
    no such file or directory" 

（为了便于阅读而添加了换行符）

/bin/bash进入pod，我意识到没有人拥有路径/var/run/secrets，但minikube tutorial的hello-minikube广告连播除外，仅使用两个kubectl命令创建：

$ kubectl run hello-minikube --image=k8s.gcr.io/echoserver:1.4 --port=8080
$ kubectl expose deployment hello-minikube --type=NodePort

与terraform问题中的脚本相比，我删除了kubectl这样的--certificate-authority=${var.cluster_ca_certificate}参数，但是在设置hello-minikube时我也没有提供这个，{原始脚本不能按原样运行，因为我无法弄清楚如何从地形中~/.kube/config访问提供商详细信息。

我试图找出hello-minikube是否做了一些奇特的事情，但我找不到它的源代码。

我是否必须做一些特定的事情才能使令牌可用？根据{{​​3}}，InCluster配置应该是自动化的，但是目前看来我已经卡住了。

版本

主机系统是Windows 10计算机

> minikube version
minikube version: v0.24.1

> kubectl version
Client Version: version.Info{Major:"1", Minor:"9", GitVersion:"v1.9.0", GitCommit:"925c127ec6b946659ad0fd596fa959be43f0cc05", GitTreeState:"clean", BuildDate:"2017-12-15T21:07:38Z", GoVersion:"go1.9.2", Compiler:"gc", Platform:"windows/amd64"}
Server Version: version.Info{Major:"1", Minor:"8", GitVersion:"v1.8.0", GitCommit:"0b9efaeb34a2fc51ff8e4d34ad9bc6375459c4a4", GitTreeState:"clean", BuildDate:"2017-11-29T22:43:34Z", GoVersion:"go1.9.1", Compiler:"gc", Platform:"linux/amd64"}

相关

有一些相关的问题和github问题，但它们也没有帮我解决问题。

• traefic issue 611

• How do I access the Kubernetes api from within a pod container?

• Why would /var/run/secrets/kubernetes.io/serviceaccount/token be an empty file in a Pod?

• https://github.com/datawire/telepresence/issues/353

Answer 1

最重要的是，感谢您撰写惊人的问题;我会用这个问题作为其他人应该问的模板！

您可以查看automountServiceAccountToken中的PodSpec字段，看看它是true吗？

我所知道的唯一另一个建设性问题是它的serviceAccountName是否指向现有的S.A。我希望一个虚假的人会轰炸部署，但不确定在那种情况下会发生什么