创建Pod时,它总是分配给某个服务帐户-default或指定的其他帐户。
The documentation意味着除非另外指定,否则将自动安装服务帐户的API凭据:
在1.6+版中,您可以通过在服务帐户[...]上设置
automountServiceAccountToken: false来选择退出服务帐户的自动挂载API凭据在1.6版以上的版本中,您还可以选择退出特定Pod的自动安装API凭据[...]
但是,我不确定这些秘密在哪里安装。
答案 0 :(得分:1)
它们安装在/var/run/secrets/kubernetes.io/serviceaccount中。服务帐户的API令牌以token(即/var/run/secrets/kubernetes.io/serviceaccount/token)的形式提供,依此类推,其余的服务帐户的关联机密也是如此。
在官方文档的"Accessing Clusters"中对此进行了说明。