Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

9.4. 启用服务帐户身份验证

服务帐户使用由 RSA 私钥签名的令牌向 API 进行身份验证。身份验证层使用匹配的公共 RSA 密钥验证签名。

要启用服务帐户令牌生成,更新 master 上的 /etc/origin/master/master-config.yml 文件中的 serviceAccountConfig 小节,以指定 privateKeyFile (用于签名)以及 publicKeyFiles 列表中匹配的公钥文件:

serviceAccountConfig:
  ...
  masterCA: ca.crt 1
  privateKeyFile: serviceaccount.private.key 2
  publicKeyFiles:
  - serviceaccount.public.key 3
  - ...
1
用于验证 API 服务器的服务证书的 CA 文件。
2
私有 RSA 密钥文件(用于令牌签名)。
3
公共 RSA 密钥文件(用于令牌验证)。如果提供了私钥文件,则使用公钥组件。可以指定多个公钥文件,如果令牌可以由其中一个公钥验证,则可以接受该令牌。这允许轮转签名密钥,同时仍然接受上一签名人生成的令牌。