Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Controle de acesso com base em função

Rancher-Istio foi descontinuado desde o Rancher v2.12.0; recorra à SUSE Application Collection versão do Istio para segurança aprimorada (incluída nas assinaturas do SUSE Rancher Prime). Informações detalhadas podem ser encontradas em este anúncio.

Esta seção descreve as permissões necessárias para acessar os recursos do Istio.

O Rancher Istio chart instala três ClusterRoles

Acesso de Administrador de Cluster

Por padrão, apenas aqueles com o cluster-admin ClusterRole podem:

Instalar o app Istio em um cluster
Configurar alocações de recursos para o Istio

Acesso de Admin e Edit

Por padrão, apenas as funções Admin e Edit podem:

Habilitar e desabilitar a injeção automática do sidecar do Istio para namespaces
Adicionar o sidecar do Istio a cargas de trabalho
Visualizar as métricas de tráfego e o gráfico de tráfego para o cluster
Configurar os recursos do Istio (como o gateway, regras de destino ou serviços virtuais)

Resumo das Permissões Padrão para Funções Padrão do Kubernetes

O Istio cria três ClusterRoles e adiciona acesso aos CRDs do Istio aos seguintes ClusterRole padrão do K8s:

ClusterRole criado pelo chart ClusterRole Padrão do K8s Função do Rancher

ClusterRole criado pelo chart	ClusterRole Padrão do K8s	Função do Rancher
`istio-admin`	admin	Proprietário do Projeto
`istio-edit`	editar	Membro do Projeto
`istio-view`	ver	Apenas Leitura

istio-admin

admin

Proprietário do Projeto

istio-edit

editar

Membro do Projeto

istio-view

ver

Apenas Leitura

O Rancher continuará a usar cluster-owner, cluster-member, project-owner, project-member, etc. como nomes de funções, mas utilizará funções padrão para determinar o acesso. Para cada ClusterRole K8s padrão, existem diferentes permissões aos CRDs do Istio e ações K8s (Criar (C), Obter (G), Listar (L), Assistir (W), Atualizar (U), Patch (P), Deletar (D), Todos (*)) que podem ser realizadas.

CRDs Admin. Editar Ver

CRDs	Admin.	Editar	Ver
<ul><li>`config.istio.io`</li><ul><li>`adapters`</li><li>`attributemanifests`</li><li>`handlers`</li><li>`httpapispecbindings`</li><li>`httpapispecs`</li><li>`instances`</li><li>`quotaspecbindings`</li><li>`quotaspecs`</li><li>`rules`</li><li>`templates`</li></ul></ul>	GLW	GLW	GLW
<ul><li>`networking.istio.io`</li><ul><li>`destinationrules`</li><li>`envoyfilters`</li><li>`gateways`</li><li>`serviceentries`</li><li>`sidecars`</li><li>`virtualservices`</li><li>`workloadentries`</li></ul></ul>	*	*	GLW
<ul><li>`security.istio.io`</li><ul><li>`authorizationpolicies`</li><li>`peerauthentications`</li><li>`requestauthentications`</li></ul></ul>	*	*	GLW

<ul><li>config.istio.io</li><ul><li>adapters</li><li>attributemanifests</li><li>handlers</li><li>httpapispecbindings</li><li>httpapispecs</li><li>instances</li><li>quotaspecbindings</li><li>quotaspecs</li><li>rules</li><li>templates</li></ul></ul>

GLW

<ul><li>networking.istio.io</li><ul><li>destinationrules</li><li>envoyfilters</li><li>gateways</li><li>serviceentries</li><li>sidecars</li><li>virtualservices</li><li>workloadentries</li></ul></ul>

GLW

<ul><li>security.istio.io</li><ul><li>authorizationpolicies</li><li>peerauthentications</li><li>requestauthentications</li></ul></ul>

GLW