Kubernetes 1.24 LegacyServiceAccountTokenNoAutoGeneration

mikutas 2023/03/14に更新

The LegacyServiceAccountTokenNoAutoGeneration feature gate is beta, and enabled by default. When enabled, Secret API objects containing service account tokens are no longer auto-generated for every ServiceAccount.

mikutas 2023/03/14に更新

これまでServiceAccountを作成すると自動的に生成されていたトークンを含むSecretオブジェクトが作成されなくなる
有効期限のないトークンが必要な場合はToken Request APIを使用してBound Service Account Tokenを生成するか、いくつかのステップを踏んでSecret-basedトークンを生成できる

Bound Service Account Tokenは、従来のService Account Tokenの問題を解消し、Kubernetes APIサーバへのアクセスだけでなく広い用途で利用されることを想定したService Account Tokenです。

Bound Service Account Tokenに移行済みでLegacy Service Account Tokenを使ってないものについては、Secretが生成されなくなっても影響はない

mikutas 2023/03/14

上がLegacy Service Account Token
下がBound Service Account Token

mikutas 2023/08/03に更新

Argo Workflows（コントローラー自身ではなくWorkflowから作られるPod）にはLegacy Service Account Tokenへの依存が残っている

サーバーにログインするユーザー用のSAにも依存があった

mikutas 2023/07/21に更新

Bound Service Account Tokenには有効期限があるため、それに依存しているアプリケーションはトークンの更新を行える必要がある（client-goを使うなら0.15.7以降が必須、など）。

mikutas 2023/03/14

1.24ではLegacy Service Account Token自体の挙動も少し変わっている

削除時に自動再生成されない
Secretリソース再生成時にトークンがリフレッシュされない

mikutas 5ヶ月前に更新

1.27から警告されるようになった

まだlegacy tokenのSecretが残っていると、こういうログが出る

Use tokens from the TokenRequest API or manually created secret-based tokens instead of auto-generated secret-based tokens.