文档首页/ 云容器引擎 CCE/ 服务公告/ 产品变更公告/ ServiceAccount Token安全性提升说明
更新时间:2024-01-27 GMT+08:00

ServiceAccount Token安全性提升说明

发布时间:2022/11/24

Kubernetes 1.21及以上版本的集群中,Pod将不再自动挂载永久Token,默认使用TokenRequest API获得Token,并使用投射卷(Projected Volume)挂载到Pod中。

使用这种方法获得的Token具有固定的生命周期(默认有效期为1小时),在到达有效期之前,Kubelet会刷新该Token,保证Pod始终拥有有效的Token,Kubernetes 1.21及以上版本的集群中会默认开启该特性。如果用户使用版本过低的K8s客户端(Client),由于低版本Client并不具备证书轮转能力,会存在证书轮转失效的风险。

详情请参见ServiceAccount Token安全性提升说明