Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Control de acceso basado en funciones

Rancher-Istio ha quedado obsoleto desde Rancher v2.12.0; recurran a la SUSE Application Collection de Istio para una mayor seguridad (incluida en las suscripciones de SUSE Rancher Prime). Se puede encontrar información detallada en este anuncio.

Esta sección describe los permisos necesarios para acceder a las funciones de Istio.

El gráfico de rancher istio instala tres ClusterRoles

Acceso de Administrador de Clúster

Por defecto, solo aquellos con el cluster-admin ClusterRole pueden:

Instalar Istio app en un clúster
Configurar las asignaciones de recursos para Istio

Acceso de Administrador y Edición

Por defecto, solo los roles de Administrador y Edición pueden:

Habilitar y deshabilitar la auto-inyección del sidecar de Istio para los espacios de nombres
Añadir el sidecar de Istio a las cargas de trabajo
Ver las métricas de tráfico y el gráfico de tráfico para el clúster
Configurar los recursos de Istio (como el gateway, las reglas de destino o los servicios virtuales)

Resumen de permisos predeterminados para roles predeterminados de Kubernetes

Istio crea tres ClusterRoles y añade acceso a CRD de Istio a los siguientes K8s ClusterRole predeterminados:

ClusterRole creado por el gráfico ClusterRole K8s por defecto Rol de Rancher

ClusterRole creado por el gráfico	ClusterRole K8s por defecto	Rol de Rancher
`istio-admin`	admin	Propietario del Proyecto
`istio-edit`	editar	Miembro del Proyecto
`istio-view`	ver	Sólo lectura

istio-admin

admin

Propietario del Proyecto

istio-edit

editar

Miembro del Proyecto

istio-view

ver

Sólo lectura

Rancher seguirá utilizando cluster-owner, cluster-member, project-owner, project-member, etc. como nombres de roles, pero utilizará roles predeterminados para determinar el acceso. Para cada ClusterRole K8s predeterminado hay diferentes permisos de CRD de Istio y acciones de K8s (Crear ( C ), Obtener ( G ), Listar ( L ), Observar ( W ), Actualizar ( U ), Parche ( P ), Eliminar ( D ), Todos ( * )) que se pueden realizar.

CRDs Admin. Editar Ver

CRDs	Admin.	Editar	Ver
<ul><li>`config.istio.io`</li><ul><li>`adapters`</li><li>`attributemanifests`</li><li>`handlers`</li><li>`httpapispecbindings`</li><li>`httpapispecs`</li><li>`instances`</li><li>`quotaspecbindings`</li><li>`quotaspecs`</li><li>`rules`</li><li>`templates`</li></ul></ul>	GLW	GLW	GLW
<ul><li>`networking.istio.io`</li><ul><li>`destinationrules`</li><li>`envoyfilters`</li><li>`gateways`</li><li>`serviceentries`</li><li>`sidecars`</li><li>`virtualservices`</li><li>`workloadentries`</li></ul></ul>	*	*	GLW
<ul><li>`security.istio.io`</li><ul><li>`authorizationpolicies`</li><li>`peerauthentications`</li><li>`requestauthentications`</li></ul></ul>	*	*	GLW

<ul><li>config.istio.io</li><ul><li>adapters</li><li>attributemanifests</li><li>handlers</li><li>httpapispecbindings</li><li>httpapispecs</li><li>instances</li><li>quotaspecbindings</li><li>quotaspecs</li><li>rules</li><li>templates</li></ul></ul>

GLW

<ul><li>networking.istio.io</li><ul><li>destinationrules</li><li>envoyfilters</li><li>gateways</li><li>serviceentries</li><li>sidecars</li><li>virtualservices</li><li>workloadentries</li></ul></ul>

GLW

<ul><li>security.istio.io</li><ul><li>authorizationpolicies</li><li>peerauthentications</li><li>requestauthentications</li></ul></ul>

GLW