This is unreleased documentation for SUSE® Rancher Manager v2.11 (Unreleased).

在具有 Pod 安全策略的情况下启用 Istio

如果你启用了限制性 Pod 安全策略(Pod Security Policy),由于 Istio 需要某些权限才能自行安装和管理 pod 基础设施,因此 Istio 可能无法正常运行。在本文中,我们将配置一个为 Istio 启用了 PSP 的集群,并设置 Istio CNI 插件。

Istio CNI 插件不再要求每个应用 pod 具有特权 NET_ADMIN 容器。如需更多信息,请参阅 Istio CNI 插件文档。请注意,https://istio.io/about/feature-stages/[Istio CNI 插件处于 alpha 阶段]。

先决条件:

  • 集群必须是 RKE Kubernetes 集群。

  • 必须使用默认 PodSecurityPolicy 创建集群。

要在使用 Rancher UI 创建 Kubernetes 集群时启用 Pod 安全策略支持,请转到高级选项。在 Pod 安全策略支持中,单击启用,然后选择一个默认的 pod 安全策略。

  1. 将 PodSecurityPolicy 设置为不受限制

  2. 启用 CNI

  3. 验证 CNI 是否正常工作

1. 将 PodSecurityPolicy 设置为不受限制

不受限制的 PSP 支持安装 Istio。

在安装 Istio 的项目或计划安装 Istio 的项目中,将 PSP 设置为 unrestricted

  1. 点击 ☰ > 集群管理

  2. 选择你创建的集群,并点击 Explore

  3. 单击集群  项目/命名空间

  4. 找到项目: System,然后选择 ⋮ > 编辑配置

  5. 将 Pod 安全策略选项更改为不受限制,然后单击保存

2. 启用 CNI

通过 Apps 安装或升级 Istio 时:

  1. 单击组件

  2. 选中启用 CNI旁边的框。

  3. 完成 Istio 的安装或升级。

你也可以通过编辑 values.yaml 来启用 CNI:

istio_cni.enabled: true

在集群中启用 CNI 后,Istio 应该能成功安装。

3. 验证 CNI 是否正常工作

通过部署示例应用或部署你自己的应用,来验证 CNI 是否正常工作。