服务账户service account在kubernetes1.24中的变化 k8s在1.24版本废弃dockershim

总结
1.20（含1.20）之前的版本，在创建sa时会自动创建一个secret，然后这个会把这个secret通过投射卷挂载到pod里

1.21~1.23这几个版本，在创建sa时也会自动创建secret，但是在pod里并不会使用secret里的token，而是由kubelet到tokenRequest api去申请一个token。

在1.21到1.23的版本里，当我们创建了一个service account之后，系统也会自动创建一个secret。这个secret里会有一个永不过期的token。但是在pod里并不会使用secret的这个token。

当我们创建pod时，会kubelet会向tokenRequest api发送一个请求，申请一个新的token放在pod的/run/secrets/kubernetes.io/serviceaccount/token里。
这个pod里的这个token会在1个小时后由kubelet重新重新去申领一个新的token，所以1小时之后再次查看这个token的话会发现token的内容是变化的。

如果删除此pod重新创建的话，则会重新申领token，被删除pod里的token立即过期。

 

 

1.24版本，在创建sa时不再自动创建secret了，是由kubelet到tokenRequest api去申请token。
————————————————
版权声明：本文为CSDN博主「老段工作室」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/lduan_001/article/details/125667733