ack-pod-identity-webhook是实现应用免密访问与Pod权限隔离的关键组件。本文介绍ack-pod-identity-webhook组件信息、使用说明及变更记录。
组件介绍
ack-pod-identity-webhook组件基于 Kubernetes 的 MutatingAdmissionWebhook机制,可以更便捷地使用容器服务提供的RRSA(RAM Roles for Service Accounts)特性,它可以为应用Pod自动注入应用依赖的挂载OIDC Token和环境变量配置,免去繁琐的手动配置工作。
使用说明
ack-pod-identity-webhook通过自动化配置 RRSA (RAM Roles for Service Accounts),使 Pod 能直接扮演 RAM 角色,为集群提供安全、免密且精细到 Pod 级别的云资源权限管理方案。具体操作,请参见通过RRSA配置ServiceAccount的RAM权限实现Pod权限隔离。
变更记录
2025年09月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.3.1 | registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.3.1 | 2025年09月08日 | 升级组件使用的Golang版本为1.24.6,提升组件稳定性。 | 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2025年06月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.3.0 | registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.3.0.0-g433f84b-aliyun | 2025年06月06日 | 新增支持通过ServiceAccount配置 | 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2025年03月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.2.1 | registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.1.0-g52e519c-aliyun | 2025年03月18日 | 升级组件使用的Golang版本为1.23.7,提升组件稳定性。 | 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2024年12月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.2.0 | registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.0.11-g2f0c2e7-aliyun | 2024年12月19日 |
| 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2023年06月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.1.1 | registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.1.0-gbddcb74-aliyun | 2023年06月07日 | 增强组件对ACK Serverless集群的兼容性。 | 组件升级异常可能会导致Pod创建失败,建议在业务低谷期进行升级操作。 |
2023年02月
版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
0.1.0 | registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.0.9-g26b8fde-aliyun | 2023年02月01日 | 实现为应用Pod自动挂载OIDC Token以及自动配置环境变量的功能。 | 首个版本。 |