Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Zusätzliche Schritte zur Isolierung des Projektnetzwerks

Rancher-Istio ist seit Rancher v2.12.0 ausgelaufen; nutzen Sie die SUSE Application Collection-Version von Istio für verbesserte Sicherheit (in SUSE Rancher Prime-Abonnements enthalten). Detaillierte Informationen finden Sie in dieser Ankündigung.

In Clustern, in denen:

  • Sie verwenden Rancher v2.5.8+ mit einem beliebigen RKE2-Netzwerk-Plugin, das die Durchsetzung von Kubernetes-Netzwerkrichtlinien unterstützt, wie z. B. Canal.

  • Die Option zur Isolierung des Projektnetzwerks ist aktiviert

  • Sie installieren das Istio Ingress-Modul

Der Istio Ingress Gateway-Pod kann standardmäßig den eingehenden Datenverkehr nicht an die Workloads umleiten. Das liegt daran, dass alle Namespaces vom Namespace, in dem Istio installiert ist, nicht zugänglich sind. Sie haben zwei Optionen.

Die erste Option besteht darin, in jedem der Namespaces, in denen Sie den eingehenden Datenverkehr durch Istio steuern möchten, eine neue Netzwerkrichtlinie hinzuzufügen. Ihre Richtlinie sollte die folgenden Zeilen enthalten:

- podSelector:
    matchLabels:
      app: istio-ingressgateway

Die zweite Option besteht darin, den istio-system Namespace in das system Projekt zu verschieben, das standardmäßig von der Netzwerkisolierung ausgeschlossen ist.