ack-pod-identity-webhook是实现应用免密访问与Pod权限隔离的关键组件。本文介绍ack-pod-identity-webhook组件信息、使用说明及变更记录。
组件介绍
ack-pod-identity-webhook组件基于 Kubernetes 的 MutatingAdmissionWebhook机制,可以更便捷地使用容器服务提供的RRSA(RAM Roles for Service Accounts)特性,它可以为应用Pod自动注入应用依赖的挂载OIDC Token和环境变量配置,免去繁琐的手动配置工作。
使用说明
ack-pod-identity-webhook通过自动化配置 RRSA (RAM Roles for Service Accounts),使 Pod 能直接扮演 RAM 角色,为集群提供安全、免密且精细到 Pod 级别的云资源权限管理方案。具体操作,请参见通过RRSA配置ServiceAccount的RAM权限实现Pod权限隔离。
自定义配置
ack-pod-identity-webhook组件的自定义配置包括组件配置、命名空间配置、服务账户配置以及Pod配置。
组件配置
参数 | 类型 | 说明 |
AutoInjectSTSEnvVars | boolean | 是否启用默认为 Pod 注入 STS 相关环境变量的功能。
说明 仅0.4.0及以上版本支持该参数。 |
命名空间配置
参数 | 类型 | 说明 | 代码示例 |
pod-identity.alibabacloud.com/injection | 标签 | 是否为该命名空间下的Pod启用配置自动注入功能。
| |
服务账户配置
参数 | 类型 | 说明 | 代码示例 |
pod-identity.alibabacloud.com/role-name | 注解 | 该服务账户关联的RAM角色名称。如果未配置该配置项或配置的值不是一个合法的RAM角色名称,使用该服务账户的Pod将不会被自动注入配置。 | |
pod-identity.alibabacloud.com/service-account-token-expiration | 注解 | 指定使用该服务账户的Pod挂载的OIDC Token的有效期。 取值范围:[600, 43200]。单位:秒。 默认值为3600,当配置值无效时,将使用3600作为此配置项的值。 | |
pod-identity.alibabacloud.com/inject-sts-endpoint | 注解 | 是否为使用该服务账户的Pod注入环境变量
说明 仅0.3.0及以上版本支持该参数。 | |
Pod配置
参数 | 类型 | 说明 | 代码示例 |
pod-identity.alibabacloud.com/injection | 标签 | 是否为该Pod启用配置自动注入功能。
说明 仅0.2.0及以上版本支持该参数。 | |
pod-identity.alibabacloud.com/service-account-token-expiration | 注解 | 指定该Pod挂载的OIDC Token的有效期。 取值范围:[600, 43200]。单位:秒。 默认值为3600,当配置值无效时,将使用3600作为此配置项的值。 说明 当服务账户和Pod上都存在该配置项时,服务账户上的配置将会被忽略。 | |
pod-identity.alibabacloud.com/only-containers | 注解 | 限制只为Pod内特定名称的容器自动注入配置,使用英文半角逗号(,)分隔多个容器名称。 如果未配置该配置项,将为Pod内所有容器自动注入配置。 | |
pod-identity.alibabacloud.com/skip-containers | 注解 | 配置不为特定名称的容器自动注入配置,使用英文半角逗号(,)分隔多个容器名称。 说明 当某个容器名称同时存在于 | |
变更记录
2025年11月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.4.0 | registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.4.0 | 2025年11月24日 |
| 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2025年09月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.3.1 | registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.3.1 | 2025年09月08日 | 升级组件使用的Golang版本为1.24.6,提升组件稳定性。 | 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2025年06月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.3.0 | registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.3.0.0-g433f84b-aliyun | 2025年06月06日 | 新增支持通过ServiceAccount配置 | 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2025年03月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.2.1 | registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.1.0-g52e519c-aliyun | 2025年03月18日 | 升级组件使用的Golang版本为1.23.7,提升组件稳定性。 | 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2024年12月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.2.0 | registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.0.11-g2f0c2e7-aliyun | 2024年12月19日 |
| 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2023年06月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.1.1 | registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.1.0-gbddcb74-aliyun | 2023年06月07日 | 增强组件对ACK Serverless集群的兼容性。 | 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2023年02月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.1.0 | registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.0.9-g26b8fde-aliyun | 2023年02月01日 | 实现为应用Pod自动挂载OIDC Token以及自动配置环境变量的功能。 | 首个版本。 |