全部产品
Search

搜索本产品

    Container Service for Kubernetes:Ikhtisar dan log perubahan komponen ack-pod-identity-webhook

    文档中心

    Container Service for Kubernetes:Ikhtisar dan log perubahan komponen ack-pod-identity-webhook

    更新时间:Dec 17, 2025

    ack-pod-identity-webhook adalah komponen utama yang menyediakan akses tanpa kata sandi dan isolasi izin untuk pod aplikasi. Topik ini menjelaskan komponen ack-pod-identity-webhook, penggunaannya, serta log perubahannya.

    Ikhtisar komponen

    Komponen ack-pod-identity-webhook memanfaatkan mekanisme MutatingAdmissionWebhook Kubernetes untuk menyederhanakan penggunaan fitur RAM Roles for Service Accounts (RRSA) yang disediakan oleh Container Service for Kubernetes (ACK). Komponen ini secara otomatis menyuntikkan konfigurasi mount token OpenID Connect (OIDC) dan variabel lingkungan yang diperlukan ke dalam pod aplikasi, sehingga menghilangkan kebutuhan akan konfigurasi manual yang kompleks.

    Penggunaan

    ack-pod-identity-webhook mengotomatiskan konfigurasi RRSA, memungkinkan pod untuk langsung mengasumsikan RAM role dan menyediakan solusi Pengelolaan izin yang aman, tanpa kata sandi, serta detail halus untuk sumber daya cloud di tingkat pod. Untuk informasi selengkapnya, lihat Gunakan RRSA untuk mengonfigurasi izin RAM untuk ServiceAccount dan mengimplementasikan isolasi izin pod.

    Konfigurasi kustom

    Konfigurasi kustom untuk komponen ack-pod-identity-webhook mencakup pengaturan komponen, namespace, akun layanan, dan pod.

    Konfigurasi komponen

    Parameter

    Tipe

    Deskripsi

    AutoInjectSTSEnvVars

    boolean

    Menentukan apakah akan mengaktifkan fitur yang menyuntikkan variabel lingkungan terkait STS ke dalam pod secara default.

    • true: Mengaktifkan fitur tersebut.

    • false: Menonaktifkan fitur tersebut.

    Catatan

    Parameter ini hanya didukung mulai versi 0.4.0 dan seterusnya.

    Konfigurasi namespace

    Parameter

    Tipe

    Deskripsi

    Contoh

    pod-identity.alibabacloud.com/injection

    Label

    Menentukan apakah akan mengaktifkan penyuntikan konfigurasi otomatis untuk pod dalam namespace ini.

    • Nilai on mengaktifkan penyuntikan konfigurasi otomatis di tingkat namespace.

    • Jika label ini tidak dikonfigurasi atau diatur ke nilai lain, penyuntikan konfigurasi otomatis di tingkat namespace dinonaktifkan.

    apiVersion: v1
kind: Namespace
metadata:
  name: test
  labels:
    pod-identity.alibabacloud.com/injection: 'on'

    Konfigurasi akun layanan

    Parameter

    Tipe

    Deskripsi

    Contoh

    pod-identity.alibabacloud.com/role-name

    Anotasi

    Nama RAM role yang terkait dengan akun layanan ini. Jika item konfigurasi ini tidak dikonfigurasi atau nilainya bukan nama RAM role yang valid, konfigurasi tidak akan disuntikkan secara otomatis ke dalam pod yang menggunakan akun layanan ini.

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/role-name: test-role

    pod-identity.alibabacloud.com/service-account-token-expiration

    Anotasi

    Menentukan periode validitas token OIDC yang dimount ke pod yang menggunakan akun layanan ini.

    Nilai yang valid: 600 hingga 43200. Satuan: detik.

    Nilai default adalah 3600. Jika Anda menentukan nilai yang tidak valid, nilai default 3600 yang digunakan.

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/service-account-token-expiration: '3600'

    pod-identity.alibabacloud.com/inject-sts-endpoint

    Anotasi

    Menentukan apakah akan menyuntikkan variabel lingkungan ALIBABA_CLOUD_STS_ENDPOINT ke dalam pod yang menggunakan akun layanan ini.

    • Nilai on mengaktifkan penyuntikan variabel lingkungan ini.

    • Jika anotasi ini tidak dikonfigurasi atau diatur ke nilai lain, penyuntikan variabel lingkungan ini dinonaktifkan.

    Catatan

    Parameter ini hanya didukung mulai versi 0.3.0 dan seterusnya.

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/inject-sts-endpoint: 'on'

    Konfigurasi Pod

    Parameter

    Tipe

    Deskripsi

    Contoh

    pod-identity.alibabacloud.com/injection

    Label

    Menentukan apakah akan mengaktifkan penyuntikan konfigurasi otomatis untuk pod ini.

    • Nilai on mengaktifkan penyuntikan konfigurasi otomatis.

    • Jika label ini tidak dikonfigurasi atau diatur ke nilai lain, konfigurasi namespace yang menentukan apakah penyuntikan konfigurasi otomatis diaktifkan.

    Catatan

    Parameter ini hanya didukung mulai versi 0.2.0 dan seterusnya.

    apiVersion: v1
kind: Pod
metadata:
  name: test
  labels:
    pod-identity.alibabacloud.com/injection: 'on'

    pod-identity.alibabacloud.com/service-account-token-expiration

    Anotasi

    Menentukan periode validitas token OIDC yang dimount ke pod ini.

    Nilai yang valid: 600 hingga 43200. Satuan: detik.

    Nilai default adalah 3600. Jika Anda menentukan nilai yang tidak valid, nilai default 3600 yang digunakan.

    Catatan

    Jika item konfigurasi ini ada baik pada akun layanan maupun pada pod, konfigurasi pada akun layanan akan diabaikan.

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/service-account-token-expiration: '3600'

    pod-identity.alibabacloud.com/only-containers

    Anotasi

    Membatasi penyuntikan konfigurasi otomatis hanya ke kontainer tertentu dalam pod. Gunakan koma (,) untuk memisahkan beberapa nama kontainer.

    Jika item konfigurasi ini tidak dikonfigurasi, konfigurasi akan disuntikkan secara otomatis ke semua kontainer dalam pod.

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/only-containers: 'controller,test'

    pod-identity.alibabacloud.com/skip-containers

    Anotasi

    Mencegah penyuntikan konfigurasi otomatis untuk kontainer tertentu. Gunakan koma (,) untuk memisahkan beberapa nama kontainer.

    Catatan

    Jika nama kontainer ditentukan baik dalam konfigurasi pod-identity.alibabacloud.com/only-containers maupun pod-identity.alibabacloud.com/skip-containers, konfigurasi dalam pod-identity.alibabacloud.com/only-containers akan diabaikan.

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/skip-containers: 'controller,test'

    Log perubahan

    November 2025

    Nomor versi

    Alamat registri

    Waktu perubahan

    Perubahan

    Dampak

    0.4.0

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.4.0

    24 November 2025

    • Menambahkan dukungan untuk menyuntikkan variabel lingkungan terkait STS ke dalam pod secara default: ALIBABA_CLOUD_STS_ENDPOINT, ALIBABA_CLOUD_STS_REGION, dan ALIBABA_CLOUD_VPC_ENDPOINT_ENABLED.

      Anda dapat menonaktifkan fitur ini dengan mengatur item konfigurasi komponen AutoInjectSTSEnvVars ke false.

    • Memutakhirkan versi Golang yang digunakan komponen ke 1.24.10 untuk meningkatkan stabilitas komponen.

    Peningkatan komponen yang tidak normal dapat menyebabkan pembuatan pod gagal. Lakukan peningkatan selama jam sepi.

    September 2025

    Nomor versi

    Alamat registri

    Waktu perubahan

    Perubahan

    Dampak

    0.3.1

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.3.1

    08 September 2025

    Memutakhirkan versi Golang yang digunakan komponen ke 1.24.6 untuk meningkatkan stabilitas komponen.

    Peningkatan komponen yang tidak normal dapat menyebabkan pembuatan pod gagal. Lakukan peningkatan selama jam sepi.

    Juni 2025

    Nomor versi

    Alamat Registri

    Waktu perubahan

    Perubahan

    Dampak

    0.3.0

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.3.0.0-g433f84b-aliyun

    06 Juni 2025

    Menambahkan dukungan untuk mengonfigurasi pod-identity.alibabacloud.com/inject-sts-endpoint pada ServiceAccount guna mengaktifkan penyuntikan variabel lingkungan ALIBABA_CLOUD_STS_ENDPOINT ke dalam pod.

    Peningkatan komponen yang tidak normal dapat menyebabkan pembuatan pod gagal. Lakukan peningkatan selama jam sepi.

    Maret 2025

    Nomor versi

    Alamat registri

    Waktu perubahan

    Perubahan

    Dampak

    0.2.1

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.1.0-g52e519c-aliyun

    18 Maret 2025

    Memutakhirkan versi Golang yang digunakan komponen ke 1.23.7 untuk meningkatkan stabilitas komponen.

    Peningkatan komponen yang tidak normal dapat menyebabkan pembuatan pod gagal. Lakukan peningkatan selama jam sepi.

    Desember 2024

    Nomor versi

    Alamat registri

    Waktu perubahan

    Perubahan

    Dampak

    0.2.0

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.0.11-g2f0c2e7-aliyun

    19 Desember 2024

    • Menambahkan dukungan untuk mengaktifkan penyuntikan konfigurasi dengan menambahkan label pod-identity.alibabacloud.com/injection: 'on' ke pod.

    • Mengoptimalkan dukungan untuk Kubernetes 1.32.

    Peningkatan komponen yang tidak normal dapat menyebabkan pembuatan pod gagal. Lakukan peningkatan selama jam sepi.

    Juni 2023

    Nomor versi

    Alamat registri

    Waktu perubahan

    Perubahan

    Dampak perubahan

    0.1.1

    registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.1.0-gbddcb74-aliyun

    07 Juni 2023

    Menyempurnakan kompatibilitas komponen dengan Kluster ACK Serverless.

    Peningkatan komponen yang tidak normal dapat menyebabkan pembuatan pod gagal. Lakukan peningkatan selama jam sepi.

    Februari 2023

    Nomor versi

    Alamat registri

    Waktu perubahan

    Perubahan

    Dampak

    0.1.0

    registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.0.9-g26b8fde-aliyun

    01 Februari 2023

    Mengimplementasikan fitur untuk secara otomatis memasang token OIDC dan mengonfigurasi variabel lingkungan untuk pod aplikasi.

    Rilis awal.