プロジェクトネットワークの隔離に関する追加手順

Rancher-IstioはRancher v2.12.0以降廃止されました。セキュリティを強化するために、 SUSE Application CollectionのIstioビルドに切り替えてください(SUSE Rancher Primeサブスクリプションに含まれています)。 詳細情報は この発表にあります。

次の条件を満たすクラスターでは:

  • Rancher v2.5.8以上で、CanalなどのKubernetesネットワークポリシーの強制をサポートするRKE2ネットワークプラグインを使用している場合

  • プロジェクトネットワーク隔離オプションが有効になっている場合

  • Istio Ingressモジュールをインストールしている場合

Istio Ingressゲートウェイポッドは、デフォルトではワークロードへのingressトラフィックをリダイレクトできません。これは、すべてのネームスペースがIstioがインストールされているネームスペースからアクセスできなくなるためです。2つのオプションがあります。

最初のオプションは、Istioによってingressが制御される各ネームスペースに、新しいネットワークポリシーを追加することです。ポリシーには以下の行を含める必要があります:

- podSelector:
    matchLabels:
      app: istio-ingressgateway

2つ目のオプションは、`istio-system`ネームスペースを`system`プロジェクトに移動することで、デフォルトではネットワーク隔離から除外されます。