Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Contrôle d’accès en fonction du rôle

Rancher-Istio a cessé la prise en charge depuis Rancher v2.12.0 ; tournez-vous vers l’SUSE Application Collection d’Istio pour une sécurité renforcée (incluse dans les abonnements SUSE Rancher Prime). Des informations détaillées peuvent être trouvées dans cette annonce.

Cette section décrit les autorisations requises pour accéder aux fonctionnalités d’Istio.

Le chart Rancher Istio installe trois ClusterRoles

Accès Cluster-Admin

Par défaut, seuls ceux ayant le cluster-admin ClusterRole peuvent :

Installer l’appli istio dans un cluster
Configurer les allocations de ressources pour Istio

Accès Admin et Édition

Par défaut, seuls les rôles Admin et Édition peuvent :

Activer et désactiver l’injection automatique du sidecar Istio pour les espaces de noms
Ajouter le sidecar Istio aux charges de travail
Voir les métriques de trafic et le graphique de trafic pour le cluster
Configurer les ressources d’Istio (telles que la passerelle, les règles de destination ou les services virtuels)

Résumé des autorisations par défaut pour les rôles par défaut de Kubernetes

Istio crée trois ClusterRoles et ajoute l’accès CRD d’Istio aux ClusterRole K8s par défaut suivants :

ClusterRole créé par le chart ClusterRole K8s par défaut Rôle Rancher

ClusterRole créé par le chart	ClusterRole K8s par défaut	Rôle Rancher
`istio-admin`	admin	Propriétaire de projet
`istio-edit`	modifier	Membre de projet
`istio-view`	view	Lecture seule

istio-admin

admin

Propriétaire de projet

istio-edit

modifier

Membre de projet

istio-view

view

Lecture seule

Rancher continuera d’utiliser les noms de rôle cluster-owner, cluster-member, project-owner, project-member, etc., mais utilisera des rôles par défaut pour déterminer l’accès. Pour chaque ClusterRole K8s par défaut, il existe différentes autorisations CRD Istio et actions K8s (Créer (C), Obtenir (G), Lister (L), Surveiller (W), Mettre à jour (U), Patch (P), Supprimer (D), Tout ( * )) qui peuvent être effectuées.

CRDs Admin Modifier Afficher

CRDs	Admin	Modifier	Afficher
<ul><li>`config.istio.io`</li><ul><li>`adapters`</li><li>`attributemanifests`</li><li>`handlers`</li><li>`httpapispecbindings`</li><li>`httpapispecs`</li><li>`instances`</li><li>`quotaspecbindings`</li><li>`quotaspecs`</li><li>`rules`</li><li>`templates`</li></ul></ul>	GLW	GLW	GLW
<ul><li>`networking.istio.io`</li><ul><li>`destinationrules`</li><li>`envoyfilters`</li><li>`gateways`</li><li>`serviceentries`</li><li>`sidecars`</li><li>`virtualservices`</li><li>`workloadentries`</li></ul></ul>	*	*	GLW
<ul><li>`security.istio.io`</li><ul><li>`authorizationpolicies`</li><li>`peerauthentications`</li><li>`requestauthentications`</li></ul></ul>	*	*	GLW

<ul><li>config.istio.io</li><ul><li>adapters</li><li>attributemanifests</li><li>handlers</li><li>httpapispecbindings</li><li>httpapispecs</li><li>instances</li><li>quotaspecbindings</li><li>quotaspecs</li><li>rules</li><li>templates</li></ul></ul>

GLW

<ul><li>networking.istio.io</li><ul><li>destinationrules</li><li>envoyfilters</li><li>gateways</li><li>serviceentries</li><li>sidecars</li><li>virtualservices</li><li>workloadentries</li></ul></ul>

GLW

<ul><li>security.istio.io</li><ul><li>authorizationpolicies</li><li>peerauthentications</li><li>requestauthentications</li></ul></ul>

GLW