この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

プロジェクトネットワークの隔離に関する追加手順

Rancher-IstioはRancher v2.12.0以降廃止されました。セキュリティを強化するために、 SUSE Application CollectionのIstioビルドに切り替えてください(SUSE Rancher Primeサブスクリプションに含まれています)。 詳細情報は この発表にあります。

次の条件を満たすクラスターでは:

  • Rancher v2.5.8以上で、CanalなどのKubernetesネットワークポリシーの強制をサポートするRKE2ネットワークプラグインを使用している場合

  • プロジェクトネットワーク隔離オプションが有効になっている場合

  • Istio Ingressモジュールをインストールしている場合

Istio Ingressゲートウェイポッドは、デフォルトではワークロードへのingressトラフィックをリダイレクトできません。これは、すべてのネームスペースがIstioがインストールされているネームスペースからアクセスできなくなるためです。2つのオプションがあります。

最初のオプションは、Istioによってingressが制御される各ネームスペースに、新しいネットワークポリシーを追加することです。ポリシーには以下の行を含める必要があります:

- podSelector:
    matchLabels:
      app: istio-ingressgateway

2つ目のオプションは、`istio-system`ネームスペースを`system`プロジェクトに移動することで、デフォルトではネットワーク隔離から除外されます。