创建服务账号 Secret

1. ca.istio.io/env 命名空间标签：字符串值 包含所需 Citadel 实例的命名空间的标签

2. ca.istio.io/override 命名空间标签：布尔值 覆盖所有其他配置，并强制所有 Citadel 实例定位或忽略命名空间的标签

• 如果 ca.istio.io/override 存在并且为 true，则为工作负载生成密钥/证书 secret。

• 否则，如果 ca.istio.io/override 存在并且为 false，则不为工作负载生成密钥/证书 secret。

• 否则，将不会为 的命名空间创建 secret。

下面的真值表体现了该逻辑：

当命名空间从 禁用 过渡到 启用 时，Citadel 将为该命名空间中的所有 生成 secret。而从 启用 过渡到 禁用 时，Citadel 却不会删除命名空间中已经生成的 secret，直到更新了根证书为止。