先决条件

安全上下文

  • 不要使用 user ID(UID)1500 运行应用。这是保留的被用于 OSM sidecar 注入器注入的 Envoy 代理 sidecar 容器。

  • 如果在 pod 层面安全上下文 runAsNonRoot 被设置为 true,必须为 pod 或者 pod 内的各个容器提供 runAsUser 值。例如:

    1.   securityContext:
    2.     runAsNonRoot: true
    3.     runAsUser: 1200

    如果省略 UID,应用容器默认地会尝试使用 root 用户运行,会与 pod 的安全上下文冲突。

  • 不需要其他功能。

注意:OSM 的初始化容器需要使用 root 运行并添加 NET_ADMIN 特性,因为其需要这些安全上下文来完成调用。应用程序安全上下文不会修改这些值。

端口

不要使用下面这些被 Envoy sidecar 使用的端口。

端口描述
15000Envoy 管理端口
15001Envoy 出站监听端口
15003Envoy 入站监听端口
15010Envoy Prometheus 入站监听端口