В версии 1.20 до
Теперь
Теперь
Для всего этого вам придётся сконфигурировать соответствующие флаги для
Какая из этого огромная польза для безопасности можете прочитать в KEP раздела Background (на скрине).
GA ветки добрались фичи для улучшения безопасности service account tokens.Теперь
Pods могут запрашивать service account tokens с улучшенной безопасностью. Теперь
kubelet может проецировать service account token в Pod с желаемыми свойствами, такими как аудитория и срок действия (для default token это не работает). При этом этот token станет недействительным для API при удалении Pod или ServiceAccount. Такое поведение можно сконфигурировать в PodSpec используя ProjectedVolume тип под названием ServiceAccountToken. kubelet будет заниматься ротации, но само приложения ответственно за подтягивание нового token.Для всего этого вам придётся сконфигурировать соответствующие флаги для
kube-apiserver (по умолчанию это не включено).Какая из этого огромная польза для безопасности можете прочитать в KEP раздела Background (на скрине).