Rollenbasierte Zugriffssteuerung

Rancher-Istio ist seit Rancher v2.12.0 ausgelaufen; wenden Sie sich an die SUSE Application Collection Version von Istio für verbesserte Sicherheit (in SUSE Rancher Prime-Abonnements enthalten). Detaillierte Informationen finden Sie in dieser Ankündigung.

Dieser Abschnitt beschreibt die Berechtigungen, die erforderlich sind, um auf Istio-Funktionen zuzugreifen.

Das Rancher Istio-Chart installiert drei ClusterRoles.

Cluster-Admin-Zugriff

Standardmäßig können nur diejenigen mit dem cluster-admin ClusterRole:

Die Istio-App in einem Cluster installieren.
Ressourcenzuweisungen für Istio konfigurieren.

Admin- und Bearbeitungszugriff.

Standardmäßig können nur Admin- und Bearbeitungsrollen:

Die automatische Injektion des Istio-Sidecars für Namespaces aktivieren und deaktivieren.
Das Istio-Sidecar zu Workloads hinzufügen.
Die Verkehrsmetriken und das Verkehrsdiagramm für das Cluster anzeigen.
Die Ressourcen von Istio (wie das Gateway, Zielregeln oder virtuelle Dienste) konfigurieren.

Zusammenfassung der Standardberechtigungen für die Standardrollen von Kubernetes.

Istio erstellt drei ClusterRoles und fügt den folgenden Standard-K8s ClusterRole den Istio-CRD-Zugriff hinzu:

ClusterRole, die durch das Chart erstellt wurde. Standard-K8s-ClusterRole Rancher-Rolle.

ClusterRole, die durch das Chart erstellt wurde.	Standard-K8s-ClusterRole	Rancher-Rolle.
`istio-admin`	admin	Projekt-Eigentümer.
`istio-edit`	Bearbeiten	Projektmitglied.
`istio-view`	view	Nur-Lesen

istio-admin

admin

Projekt-Eigentümer.

istio-edit

Bearbeiten

Projektmitglied.

istio-view

view

Nur-Lesen

Rancher wird weiterhin cluster-owner, cluster-member, project-owner, project-member usw. als Rollennamen verwenden, aber die Standardrollen nutzen, um den Zugriff zu bestimmen. Für jede Standard-K8s ClusterRole gibt es unterschiedliche Istio-CRD-Berechtigungen und K8s-Aktionen (Erstellen (C), Abrufen (G), Auflisten (L), Überwachen (W), Aktualisieren (U), Patch (P), Löschen (D), Alle (*)), die durchgeführt werden können.

CRDs Admin. Bearbeiten Anzeigen

CRDs	Admin.	Bearbeiten	Anzeigen
<ul><li>`config.istio.io`</li><ul><li>`adapters`</li><li>`attributemanifests`</li><li>`handlers`</li><li>`httpapispecbindings`</li><li>`httpapispecs`</li><li>`instances`</li><li>`quotaspecbindings`</li><li>`quotaspecs`</li><li>`rules`</li><li>`templates`</li></ul></ul>	GLW	GLW	GLW
<ul><li>`networking.istio.io`</li><ul><li>`destinationrules`</li><li>`envoyfilters`</li><li>`gateways`</li><li>`serviceentries`</li><li>`sidecars`</li><li>`virtualservices`</li><li>`workloadentries`</li></ul></ul>	*	*	GLW
<ul><li>`security.istio.io`</li><ul><li>`authorizationpolicies`</li><li>`peerauthentications`</li><li>`requestauthentications`</li></ul></ul>	*	*	GLW

<ul><li>config.istio.io</li><ul><li>adapters</li><li>attributemanifests</li><li>handlers</li><li>httpapispecbindings</li><li>httpapispecs</li><li>instances</li><li>quotaspecbindings</li><li>quotaspecs</li><li>rules</li><li>templates</li></ul></ul>

GLW

<ul><li>networking.istio.io</li><ul><li>destinationrules</li><li>envoyfilters</li><li>gateways</li><li>serviceentries</li><li>sidecars</li><li>virtualservices</li><li>workloadentries</li></ul></ul>

GLW

<ul><li>security.istio.io</li><ul><li>authorizationpolicies</li><li>peerauthentications</li><li>requestauthentications</li></ul></ul>

GLW