在您收到的错误消息中,有一个链接指向有关该特定问题的文档:
引用官方文档:
配置第三方服务帐户令牌
为了向 Istio 控制平面进行身份验证,Istio 代理将使用服务帐户令牌。Kubernetes 支持这些令牌的两种形式:
第三方令牌,具有范围受众和到期时间。第一方令牌,没有过期并安装到所有 pod 中。由于第一方令牌的属性不太安全,Istio 将默认使用第三方令牌。但是,并非所有 Kubernetes 平台都启用此功能。
如果您使用 istioctl 安装,将自动检测支持。这也可以手动完成,并通过传递--set values.global.jwtPolicy=third-party-jwt或配置--set values.global.jwtPolicy=first-party-jwt。
要确定您的集群是否支持第三方令牌,请查找 TokenRequest API。如果这没有返回响应,则不支持该功能:
$ kubectl get --raw /api/v1 | jq '.resources[] | select(.name | index("serviceaccounts/token"))'
{
"name": "serviceaccounts/token",
"singularName": "",
"namespaced": true,
"group": "authentication.k8s.io",
"version": "v1",
"kind": "TokenRequest",
"verbs": [
"create"
]
}
虽然现在大多数云提供商都支持此功能,但在 Kubernetes 1.20 之前,许多本地开发工具和自定义安装可能不支持。要启用此功能,请参阅Kubernetes 文档。
我不确定1.19.7使用 Docker Desktop 创建的 Kubernetes ( ) 是否支持此功能,但 Kubernetes 文档显示了一种启用它的方法:
服务账户代币量预测
功能状态: Kubernetes v1.20 [稳定]
笔记:
要启用和使用令牌请求投影,您必须为 kube-apiserver 指定以下每个命令行参数:
--service-account-issuer
--service-account-key-file
--service-account-signing-key-file
--api-audiences
kubeapi-server您可以在 Docker 桌面中使用 Kubernetes 以一种有点 hacky 的方式编辑您的清单。您可以按照以下答案(我是该答案的作者)阅读更多相关信息:
解决方法
当您在主机上使用 Docker 时,您也可以考虑使用minikube它的--driver=docker. 它支持 Istio 文档中描述的第三方 JWT 令牌(它从$ kubectl get --raw ...命令生成响应)。
旁注!
我已经在一个minikube版本1.19.0和 Kubernetes 版本上对此进行了测试1.20.2。