ServiceAccount Token安全性提升说明

发布时间：2022/11/24

Kubernetes 1.21及以上版本的集群中，Pod将不再自动挂载永久Token，默认使用TokenRequest API获得Token，并使用投射卷（Projected Volume）挂载到Pod中。

使用这种方法获得的Token具有固定的生命周期（默认有效期为1小时），在到达有效期之前，Kubelet会刷新该Token，保证Pod始终拥有有效的Token，Kubernetes 1.21及以上版本的集群中会默认开启该特性。如果用户使用版本过低的K8s客户端（Client），由于低版本Client并不具备证书轮转能力，会存在证书轮转失效的风险。

详情请参见ServiceAccount Token安全性提升说明。