Я строю кластер RBAC AKS с поддержкой istio.Мне назначена роль администратора кластера, и я могу успешно развернуть минимальную службу istio (Service / Deployment / Gateway / VirtualService) без проблем.
Мне нужно создать команду в моемorg доступ к AKS, поэтому я создал пространство имен и назначил им роль администратора в пространстве имен.Все, что является родным для k8s (kubectl get services --namespace team) прекрасно работает.Однако, когда они развернули ту же минимальную службу istio (Service / Deployment / Gateway / VirtualService), у них появилось множество ошибок, подобных:
Error from server (Forbidden): error when retrieving current configuration of:
Resource: "networking.istio.io/v1alpha3, Resource=gateways", GroupVersionKind: "networking.istio.io/v1alpha3, Kind=Gateway"
Это имеет смысл, так как я не связывалгруппа для любых ролей istio.Как только я предоставил им cluster-admin, все заработало как положено.
Проблема в том, что я не знаю, какие роли добавить.Когда я смотрю на роли, которые существуют в кластере после установки istio, я не вижу никаких очевидных ролей.
Роли, которые я вижу:
- istio-citadel-istio-system
- istio-vnetingressgateway-istio-system
- istio-sidecar-инжектор-istio-система
- istio-security-post-install-istio-система
- istio-pilot-istio-system
- istio-ingressgateway-istio-system
- istio-grafana-post-install-istio-system
- istio-mixer-istio-system
- istio-galley-istio-system
- istio-egressgateway-istio-system
Какова подходящая роль для пользователей, которыечто нужно для работы в развертывании istio (в пространстве имен)?Это сочетание ролей?Нужна ли мне новая роль?