注意: 以下指南仅适用于 RKE 配置的集群。
由于 Istio 需要某些权限才能安装自身并管理 Pod 的基础结构,如果启用了限制性 Pod 安全策略,则 Istio 可能无法正确运行。在本节中,我们在配置了 PSP 的集群中启用 Istio,然后设置 Istio CNI 插件。
使用 Istio CNI 插件后,应用程序的 Pod 中的容器将不再必须拥有NET_ADMIN
特权。有关更多信息,请参见 Istio CNI 插件文档。请注意,Istio CNI 插件仍为 Alpha 阶段。
配置系统项目的 PSP 策略以允许安装 Istio
- 从主菜单中,选择项目/命名空间。
- 找到项目:系统项目,然后选择省略号 > 编辑。
- 将Pod 安全策略选项更改为不受限制,然后单击保存。
在系统项目中安装 CNI 插件
从的主菜单中,选择项目/命名空间。
选择项目:系统项目。
在导航栏中选择工具>商店设置。
添加具有以下内容的应用商店:
- 名称:istio-cni
- 应用商店 URL:https://github.com/istio/cni
- 分支:与您当前 Istio 版本匹配的分支,例如:
release-1.4
。
从主菜单中选择应用商店
单击启动,然后选择 istio-cni
将命名空间更新为
kube-system
在答案部分中,单击
编辑 YAML
并粘贴以下内容,然后单击启动:---
logLevel: "info"
excludeNamespaces:
- "istio-system"
- "kube-system"
安装 Istio
按照启动 Istio 的说明执行,并添加一个自定义答案:istio_cni.enabled = true
。
Istio 完成安装后,系统项目中的应用商店页面应显示成功部署了的 istio 和istio-cni
应用。Istio 的 Sidecar 自动注入功能现在应该可以正常工作了。