全部產品
Search

搜尋本產品

    Container Service for Kubernetes:ack-pod-identity-webhook組件介紹與變更記錄

    文件中心

    Container Service for Kubernetes:ack-pod-identity-webhook組件介紹與變更記錄

    更新時間:Jan 29, 2026

    ack-pod-identity-webhook是實現應用免密訪問與Pod許可權隔離的關鍵組件。本文介紹ack-pod-identity-webhook組件資訊、使用說明及變更記錄。

    組件介紹

    ack-pod-identity-webhook組件基於 Kubernetes 的 MutatingAdmissionWebhook機制,可以更便捷地使用Container Service提供的RRSA(RAM Roles for Service Accounts)特性,它可以為應用Pod自動注入應用依賴的掛載OIDC Token和環境變數配置,免去繁瑣的手動設定工作。

    使用說明

    ack-pod-identity-webhook通過自動化配置 RRSA (RAM Roles for Service Accounts),使 Pod 能直接扮演 RAM 角色,為叢集提供安全、免密且精細到 Pod 層級的雲資源許可權管理方案。具體操作,請參見通過RRSA配置ServiceAccount的RAM許可權實現Pod許可權隔離

    自訂配置

    ack-pod-identity-webhook組件的自訂配置包括組件配置、命名空間配置、服務賬戶配置以及Pod配置。

    組件配置

    參數

    類型

    說明

    AutoInjectSTSEnvVars

    boolean

    是否啟用預設為 Pod 注入 STS 相關環境變數的功能。

    • true:啟用該功能。

    • false:禁用該功能。

    說明

    僅0.4.0及以上版本支援該參數。

    命名空間配置

    參數

    類型

    說明

    程式碼範例

    pod-identity.alibabacloud.com/injection

    標籤

    是否為該命名空間下的Pod啟用配置自動注入功能。

    • 當值為on時:表示啟用命名空間層級的配置自動注入功能。

    • 未配置或其他值時:表示禁用命名空間層級的配置自動注入功能。

    apiVersion: v1
kind: Namespace
metadata:
  name: test
  labels:
    pod-identity.alibabacloud.com/injection: 'on'

    服務賬戶配置

    參數

    類型

    說明

    程式碼範例

    pod-identity.alibabacloud.com/role-name

    註解

    該服務賬戶關聯的RAM角色名稱。如果未配置該配置項或配置的值不是一個合法的RAM角色名稱,使用該服務賬戶的Pod將不會被自動注入配置。

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/role-name: test-role

    pod-identity.alibabacloud.com/service-account-token-expiration

    註解

    指定使用該服務賬戶的Pod掛載的OIDC Token的有效期間。

    取值範圍:[600, 43200]。單位:秒。

    預設值為3600,當配置值無效時,將使用3600作為此配置項的值。

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/service-account-token-expiration: '3600'

    pod-identity.alibabacloud.com/inject-sts-endpoint

    註解

    是否為使用該服務賬戶的Pod注入環境變數ALIBABA_CLOUD_STS_ENDPOINT

    • 當值為on時:表示啟用注入該環境變數。

    • 未配置或其他值時:表示禁用注入該環境變數。

    說明

    僅0.3.0及以上版本支援該參數。

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/inject-sts-endpoint: 'on'

    Pod配置

    參數

    類型

    說明

    程式碼範例

    pod-identity.alibabacloud.com/injection

    標籤

    是否為該Pod啟用配置自動注入功能。

    • 當值為on時:表示啟用配置自動注入功能。

    • 未配置或其他值時:表示通過命名空間的配置控制是否啟用配置自動注入。

    說明

    僅0.2.0及以上版本支援該參數。

    apiVersion: v1
kind: Pod
metadata:
  name: test
  labels:
    pod-identity.alibabacloud.com/injection: 'on'

    pod-identity.alibabacloud.com/service-account-token-expiration

    註解

    指定該Pod掛載的OIDC Token的有效期間。

    取值範圍:[600, 43200]。單位:秒。

    預設值為3600,當配置值無效時,將使用3600作為此配置項的值。

    說明

    當服務賬戶和Pod上都存在該配置項時,服務賬戶上的配置將會被忽略。

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/service-account-token-expiration: '3600'

    pod-identity.alibabacloud.com/only-containers

    註解

    限制只為Pod內特定名稱的容器自動注入配置,使用英文半形逗號(,)分隔多個容器名稱。

    如果未配置該配置項,將為Pod內所有容器自動注入配置。

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/only-containers: 'controller,test'

    pod-identity.alibabacloud.com/skip-containers

    註解

    配置不為特定名稱的容器自動注入配置,使用英文半形逗號(,)分隔多個容器名稱。

    說明

    當某個容器名稱同時存在於pod-identity.alibabacloud.com/only-containerspod-identity.alibabacloud.com/skip-containers配置中時,pod-identity.alibabacloud.com/only-containers中的配置將會被自動忽略。

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/skip-containers: 'controller,test'

    變更記錄

    2025年11月

    版本號碼

    鏡像地址

    變更時間

    變更內容

    變更影響

    0.4.0

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.4.0

    2025年11月24日

    • 新增預設為 Pod 注入 STS 相關環境變數:ALIBABA_CLOUD_STS_ENDPOINTALIBABA_CLOUD_STS_REGION以及ALIBABA_CLOUD_VPC_ENDPOINT_ENABLED

      可通過設定組件配置項AutoInjectSTSEnvVars的值為false來禁用該特性。

    • 升級組件使用的Golang版本至1.24.10,提升組件穩定性。

    組件升級異常可能會導致Pod建立失敗,建議在業務低穀期進行升級操作。

    2025年09月

    版本號碼

    鏡像地址

    變更時間

    變更內容

    變更影響

    0.3.1

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.3.1

    2025年09月08日

    升級組件使用的Golang版本為1.24.6,提升組件穩定性。

    組件升級異常可能會導致Pod建立失敗,建議在業務低穀期進行升級操作。

    2025年06月

    版本號碼

    鏡像地址

    變更時間

    變更內容

    變更影響

    0.3.0

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.3.0.0-g433f84b-aliyun

    2025年06月06日

    新增支援通過ServiceAccount配置pod-identity.alibabacloud.com/inject-sts-endpoint,開啟為Pod注入環境變數ALIBABA_CLOUD_STS_ENDPOINT

    組件升級異常可能會導致Pod建立失敗,建議在業務低穀期進行升級操作。

    2025年03月

    版本號碼

    鏡像地址

    變更時間

    變更內容

    變更影響

    0.2.1

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.1.0-g52e519c-aliyun

    2025年03月18日

    升級組件使用的Golang版本為1.23.7,提升組件穩定性。

    組件升級異常可能會導致Pod建立失敗,建議在業務低穀期進行升級操作。

    2024年12月

    版本號碼

    鏡像地址

    變更時間

    變更內容

    變更影響

    0.2.0

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.0.11-g2f0c2e7-aliyun

    2024年12月19日

    • 新增支援通過增加Pod標籤pod-identity.alibabacloud.com/injection: 'on'啟用配置注入。

    • 最佳化對Kubernetes 1.32版本的支援。

    組件升級異常可能會導致Pod建立失敗,建議在業務低穀期進行升級操作。

    2023年06月

    版本號碼

    鏡像地址

    變更時間

    變更內容

    變更影響

    0.1.1

    registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.1.0-gbddcb74-aliyun

    2023年06月07日

    增強組件對ACK Serverless叢集的相容性。

    組件升級異常可能會導致Pod建立失敗,建議在業務低穀期進行升級操作。

    2023年02月

    版本號碼

    鏡像地址

    變更時間

    變更內容

    變更影響

    0.1.0

    registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.0.9-g26b8fde-aliyun

    2023年02月01日

    實現為應用Pod自動掛載OIDC Token以及自動設定環境變數的功能。

    首個版本。