Aktivieren Sie Istio in einem Namespace

Rancher-Istio ist seit Rancher v2.12.0 ausgelaufen; wechseln Sie zur SUSE Application Collection-Version von Istio für verbesserte Sicherheit (in den SUSE Rancher Prime Abonnements enthalten). Detaillierte Informationen finden Sie in dieser Ankündigung.

Sie müssen Istio manuell in jedem Namespace aktivieren, den Sie von Istio verfolgen oder steuern lassen möchten. Wenn Istio in einem Namespace aktiviert ist, wird der Envoy-Proxy automatisch in alle neuen Workloads injiziert, die im Namespace bereitgestellt werden.

Diese Namespace-Einstellung wirkt sich nur auf neue Workloads im Namespace aus. Alle vorhandenen Workloads müssen neu bereitgestellt werden, um die automatische Seiteninjektion zu nutzen.

Voraussetzung:

Um Istio in einem Namespace zu aktivieren, muss Istio im Cluster installiert sein.

  1. Klicken Sie auf ☰ > Clusterverwaltung.

  2. Gehen Sie zu dem Cluster, den Sie erstellt haben, und klicken Sie auf Erforschen.

  3. Klicken Sie auf menu:Cluster[Projekte/Namespaces].

  4. Gehen Sie zu dem Namespace, in dem Sie Istio aktivieren möchten, und klicken Sie auf ⋮ > Istio-Auto-Injektion aktivieren. Alternativ klicken Sie auf den Namespace und klicken Sie dann auf der Detailseite des Namespaces auf ⋮ > Istio-Auto-Injektion aktivieren.

Ergebnis: Der Namespace hat jetzt das Label istio-injection=enabled. Alle neuen Workloads, die in diesem Namespace bereitgestellt werden, erhalten standardmäßig das Istio-Sidecar.

Überprüfen, ob die automatische Istio-Sidecar-Injektion aktiviert ist

Um zu überprüfen, ob Istio aktiviert ist, stellen Sie ein Hello-World-Workload im Namespace bereit. Gehen Sie zu dem Workload und klicken Sie auf den Pod-Namen. Im Abschnitt Container sollten Sie den istio-proxy Container sehen.

Ausschluss von Workloads von der Injektion mit dem Istio-Sidecar

Wenn Sie ein Workload von der Injektion mit dem Istio-Sidecar ausschließen müssen, verwenden Sie die folgende Annotation auf dem Workload:

sidecar.istio.io/inject: “false”

Um die Annotation zu einem Workload hinzuzufügen,

  1. Klicken Sie auf ☰ > Clusterverwaltung.

  2. Gehen Sie zu dem Cluster, den Sie erstellt haben, und klicken Sie auf Erforschen.

  3. Klicken Sie auf Workload.

  4. Gehen Sie zu dem Workload, der kein Sidecar haben sollte, und bearbeiten Sie ihn als YAML.

  5. Fügen Sie den folgenden Schlüssel, Wert sidecar.istio.io/inject: false als Annotation zum Workload hinzu.

  6. Klicken Sie auf Speichern.

Ergebnis: Das Istio-Sidecar wird nicht in den Workload injiziert.

Wenn Sie Probleme mit einem Job haben, den Sie bereitgestellt haben und der nicht abgeschlossen wird, müssen Sie diese Annotation zu Ihrem Pod gemäß den bereitgestellten Schritten hinzufügen. Da Istio-Sidecars unbegrenzt laufen, kann ein Job nicht als abgeschlossen betrachtet werden, selbst nachdem seine Aufgabe abgeschlossen ist.

Nächster: Fügen Sie Implementierungen mit dem Istio-Sidecar hinzu