如何避免将默认机密附加到 ServiceAccount？

Question

我正在尝试创建一个没有秘密或只指定秘密的服务帐户，并且 kubelet 似乎总是附加默认秘密。

服务帐号定义

apiVersion: v1
automountServiceAccountToken: false
kind: ServiceAccount
metadata:
  name: test
secrets:
  - name: default-token-4pbsm

提交

$ kubectl create -f service-account.yaml
serviceaccount "test" created

获取

$ kubectl get -o=yaml serviceaccount test
apiVersion: v1
automountServiceAccountToken: false
kind: ServiceAccount
metadata:
  creationTimestamp: 2017-05-30T12:25:30Z
  name: test
  namespace: default
  resourceVersion: "31414"
  selfLink: /api/v1/namespaces/default/serviceaccounts/test
  uid: 122b0643-4533-11e7-81c6-42010a8a005b
secrets:
- name: default-token-4pbsm
- name: test-token-5g3wb

正如您在上面看到的，test-token-5g3wb 是自动创建并附加到服务帐户的，而我没有指定它。

据我了解，automountServiceAccountToken 只会影响将这些机密安装到通过该服务帐户启动的 pod。 (?)

有什么方法可以避免创建和附加默认密钥？

版本

$ kubectl version
Client Version: version.Info{Major:"1", Minor:"6", GitVersion:"v1.6.4", GitCommit:"d6f433224538d4f9ca2f7ae19b252e6fcb66a3ae", GitTreeState:"clean", BuildDate:"2017-05-19T20:41:24Z", GoVersion:"go1.8.1", Compiler:"gc", Platform:"darwin/amd64"}
Server Version: version.Info{Major:"1", Minor:"6", GitVersion:"v1.6.4", GitCommit:"d6f433224538d4f9ca2f7ae19b252e6fcb66a3ae", GitTreeState:"clean", BuildDate:"2017-05-19T18:33:17Z", GoVersion:"go1.7.5", Compiler:"gc", Platform:"linux/amd64"}

Answer 1

你对automountServiceAccountToken的理解是对的，就是要启动的pod。

自动添加令牌由令牌控制器完成。即使您编辑配置以删除令牌，它也会再次添加。

您必须使用 --service-account-private-key-file 选项将服务帐户私钥文件传递给控制器​​管理器中的令牌控制器。私钥将用于签署生成的服务帐户令牌。同样，您必须使用 --service-account-key-file 选项将相应的公钥传递给 kube-apiserver。公钥将用于在身份验证期间验证令牌。

以上取自 k8s docs。所以尽量不要传递这些标志，但不知道该怎么做。但我不建议这样做。

另外this doc你可能会有所帮助。