Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Étapes supplémentaires pour l’isolement du réseau de projet

Rancher-Istio a cessé la prise en charge depuis Rancher v2.12.0 ; tournez-vous vers la SUSE Application Collection d’Istio pour une sécurité renforcée (incluse dans les abonnements SUSE Rancher Prime). Des informations détaillées peuvent être trouvées dans cette annonce.

Dans les clusters où :

  • Vous utilisez Rancher v2.5.8+ avec n’importe quel plug-in réseau RKE2 qui prend en charge l’application des politiques réseau Kubernetes, comme Canal

  • L’option d’isolement du réseau de projet est activée

  • Vous installez le module Istio Ingress

Le pod Istio Ingress Gateway ne pourra pas rediriger le trafic entrant vers les charges de travail par défaut. C’est parce que tous les espaces de noms seront inaccessibles depuis l’espace de noms où Istio est installé. Vous avez deux options.

La première option est d’ajouter une nouvelle politique réseau dans chacun des espaces de noms où vous souhaitez que l’entrée soit contrôlée par Istio. Votre politique doit inclure les lignes suivantes :

- podSelector:
    matchLabels:
      app: istio-ingressgateway

La deuxième option est de déplacer l’espace de noms istio-system vers le projet system, qui par défaut est exclu de l’isolement du réseau.