RBAC

Rancher-Istio will be deprecated in Rancher v2.12.0; turn to the SUSE Application Collection build of Istio for enhanced security (included in SUSE Rancher Prime subscriptions). Detailed information can be found in this announcement

本文介绍访问 Istio 功能所需的权限。

Rancher Istio Chart 安装了三个 ClusterRole

Cluster-Admin 访问

默认情况下,只有具有 cluster-admin ClusterRole 的用户可以:

  • 在集群中安装 Istio 应用。

  • 为 Istio 配置资源分配。

Admin 和 Edit 权限

默认情况下,只有 Admin 和 Edit 角色可以:

  • 为命名空间启用和禁用 Istio sidecar 自动注入。

  • 将 Istio sidecar 添加到工作负载。

  • 查看集群的流量指标和流量图。

  • 配置 Istio 的资源(例如网关、目标规则或虚拟服务)。

Kubernetes 默认角色的默认权限摘要

Istio 创建了三个 ClusterRole,并将 Istio CRD 访问权限添加到以下默认 K8s ClusterRole

Chart 创建的 ClusterRole 默认 K8s ClusterRole Rancher 角色

istio-admin

admin

项目所有者

istio-edit

edit

项目成员

istio-view

view

只读

Rancher 将继续使用 cluster-owner、cluster-member、project-owner、project-member 等作为角色名称,但会使用默认角色来确定访问权限。每个默认的 K8s ClusterRole 都有不同的 Istio CRD 权限以及可以执行的 K8s 操作,包括 Create ©,Get (G),List (L),Watch (W),Update (U),Patch (P),Delete (D) 和 All (*)。

CRD Admin Edit View

<ul><li>config.istio.io</li><ul><li>adapters</li><li>attributemanifests</li><li>handlers</li><li>httpapispecbindings</li><li>httpapispecs</li><li>instances</li><li>quotaspecbindings</li><li>quotaspecs</li><li>rules</li><li>templates</li></ul></ul>

GLW

GLW

GLW

<ul><li>networking.istio.io</li><ul><li>destinationrules</li><li>envoyfilters</li><li>gateways</li><li>serviceentries</li><li>sidecars</li><li>virtualservices</li><li>workloadentries</li></ul></ul>

*

*

GLW

<ul><li>security.istio.io</li><ul><li>authorizationpolicies</li><li>peerauthentications</li><li>requestauthentications</li></ul></ul>

*

*

GLW