配置项目网络隔离的额外步骤
如果您的集群满足以下条件:
- 已启用 Canal 网络插件。
- 启用了项目网络隔离选项。
- 在 Rancher v2.5.8 之前使用 Rancher 的 Canal 网络插件,或者你在 V2.5.8 以上使用 Rancher 与任何支持执行 Kubernetes 网络策略的 RKE 网络插件,如 Canal 或 Cisco ACI 插件。
- 安装了 Istio Ingress 模块。
Istio Ingress Gateway pod 在默认情况下无法将入口流量重定向到工作负载。这是因为所有的命名空间都无法从安装 Istio 的命名空间访问。您有两个选择:
第一个选项是在您打算由 Istio 控制入口的每个命名空间中添加一个新的网络策略。你的策略应该包括以下几行。
- podSelector。
matchLabels.app: istio-ingressgateway:
app: istio-ingressgateway.
Copy
第二种选择是将istio-system
命名空间移到system
项目中,默认情况下,system
项目不在网络隔离范围内。