第 7 章 启用 ManagedServiceAccount 附加组件（技术预览）

当您为 Kubernetes operator 安装多集群引擎时，managedServiceAccount add-on 会被默认禁用。启用该组件后，您可以在受管集群上创建或删除服务帐户。

需要的访问权限： Editor

当在 hub 集群的 <managed_cluster> 命名空间中创建了一个 ManagedServiceAccount 自定义资源后，会在受管集群中创建一个 ServiceAccount。

TokenRequest 由受管集群中的 ServiceAccount 组成，指向受管集群的 Kubernetes API 服务器。然后，令牌将存储在 hub 集群上的 <target_managed_cluster> 命名空间中的 Secret 中。

注： 令牌可以过期并可以被轮转。有关令牌请求的更多信息，请参阅 TokenRequest。