|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
项目网络隔离的附加步骤
|
Rancher-Istio 自 Rancher v2.12.0 起已被弃用;请转向 SUSE 应用程序集合 版本的 Istio,以获得增强的安全性(包含在 SUSE Rancher Prime 订阅中)。 详细信息可以在 此公告 中找到。 |
在以下集群中:
-
您正在使用 Rancher v2.5.8 及以上版本,并且使用任何支持强制执行 Kubernetes 网络策略的 RKE2 网络插件,例如 Canal。
-
项目网络隔离选项已启用
-
您安装了 Istio Ingress 模块
默认情况下,Istio Ingress Gateway pod 无法将入口流量重定向到工作负载。这是因为所有命名空间将无法从安装了 Istio 的命名空间访问。您有两个选择。
第一个选项是在您打算通过 Istio 控制入口的每个命名空间中添加一个新的网络策略。您的网络策略应包括以下几行:
- podSelector:
matchLabels:
app: istio-ingressgateway
第二个选项是将 istio-system 命名空间移动到 system 项目,该项目默认情况下不受网络隔离。