在设置了 PSP 的集群中启用 Istio

注意: 以下指南仅适用于 RKE 配置的集群。

由于 Istio 需要某些权限才能安装自身并管理 Pod 的基础结构,如果启用了限制性 Pod 安全策略,则 Istio 可能无法正确运行。在本节中,我们在配置了 PSP 的集群中启用 Istio,然后设置 Istio CNI 插件。

使用 Istio CNI 插件后,应用程序的 Pod 中的容器将不再必须拥有NET_ADMIN特权。有关更多信息,请参见 Istio CNI 插件文档。请注意,Istio CNI 插件仍为 Alpha 阶段

配置系统项目的 PSP 策略以允许安装 Istio

  1. 从主菜单中,选择项目/命名空间
  2. 找到项目:系统项目,然后选择省略号 > 编辑
  3. Pod 安全策略选项更改为不受限制,然后单击保存

在系统项目中安装 CNI 插件

  1. 从的主菜单中,选择项目/命名空间

  2. 选择项目:系统项目。

  3. 在导航栏中选择工具>商店设置

  4. 添加具有以下内容的应用商店:

    1. 名称:istio-cni
    2. 应用商店 URL:https://github.com/istio/cni
    3. 分支:与您当前 Istio 版本匹配的分支,例如:release-1.4
  5. 从主菜单中选择应用商店

  6. 单击启动,然后选择 istio-cni

  7. 将命名空间更新为kube-system

  8. 在答案部分中,单击编辑 YAML并粘贴以下内容,然后单击启动:

    ---
    logLevel: "info"
    excludeNamespaces:
    - "istio-system"
    - "kube-system"

安装 Istio

按照启动 Istio 的说明执行,并添加一个自定义答案:istio_cni.enabled = true

Istio 完成安装后,系统项目中的应用商店页面应显示成功部署了的 istio 和istio-cni应用。Istio 的 Sidecar 自动注入功能现在应该可以正常工作了。

最后由 yzeng25更新 于