Как настроить Istio или Linkerd с разрешениями на уровне пространства имен (без разрешения администратора кластера)?

Question

Мы используем кластер K8s, но у нас нет разрешений на уровне кластера, поэтому мы можем создавать Role и ServiceAccount только в наших пространствах имен, и нам нужно установить решение для сервисной сетки (Istio или Linkerd) только в нашемпространства имен.

Наша операционная группа согласится применить для нас CRD к кластеру, чтобы об этом позаботились, но мы не можем запрашивать разрешения администратора кластера для настройки решений с сеткой обслуживания.

Мы думаем, что это можно сделать, если мы изменим все ClusterRole s и ClusterRoleBinding s на Role s и RoleBinding s на картах Хелма.

Итак,вопрос в том, как мы можем настроить сервисную сетку, используя Istio или Linkerd, не имея прав администратора на кластере K8s?

Answer 1

Linkerd не может функционировать без определенных ClusterRoles, ClusterRoleBindings и т. Д. Однако он предоставляет двухэтапный режим установки, когда одна фаза соответствует «необходимым разрешениям администратора кластера» (иначе говоря, передайте это своей команде ops), а другой «кластеру». разрешения администратора НЕ нужны "(выполните эту часть самостоятельно).

Набор необходимых разрешений администратора кластера ограничен настолько, насколько это возможно, и его можно проверить (команда linkerd install config просто выводит его в стандартный вывод.)

Подробнее см. https://linkerd.io/2/tasks/install/#multi-stage-install.

Для контекста мы изначально пытались создать режим, не требующий привилегий на уровне кластера, но стало ясно, что мы идем противзерно с тем, как работает K8s, и мы в итоге отказались от этого подхода в пользу создания плоскости управления для всего кластера, но мультитенантной.