我正在尝试设置我的 Helm 图表以便能够部署 VirtualService。我的部署用户绑定了Edit ClusterRole。但我意识到,因为 Istio 不是核心 Kubernetes 发行版的一部分,Edit ClusterRole 没有权限添加VirtualService(甚至查看它们)。
当然,如果需要,我可以创建自己的角色和集群角色。但我想我会看看 Istio 是否为此推荐了 Role 或 ClusterRole。
但我能找到的有关 Istio Roles 和 ClusterRoles 的所有文档都适用于旧版本的 Istio。
Istio 是否不再推荐使用 Roles 和 ClusterRoles?如果没有,他们有什么建议?如果有,它的文档在哪里?
【问题讨论】:
标签: kubernetes istio rbac
我最终使用了这些 ClusterRoles。它们与管理员、编辑和查看的标准 Kubernetes 角色合并。 (我的编辑角色只允许访问 VirtualService,因为这适合我的情况。)
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: istio-admin
labels:
rbac.authorization.k8s.io/aggregate-to-admin: "true"
rules:
- apiGroups: ["config.istio.io", "networking.istio.io", "rbac.istio.io", "authentication.istio.io", "security.istio.io"]
resources: ["*"]
verbs: ["*"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: istio-edit
labels:
rbac.authorization.k8s.io/aggregate-to-edit: "true"
rules:
- apiGroups: ["config.istio.io", "networking.istio.io", "rbac.istio.io", "authentication.istio.io", "security.istio.io"]
resources: ["virtualservices"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: istio-view
labels:
rbac.authorization.k8s.io/aggregate-to-view: "true"
rules:
- apiGroups: ["config.istio.io", "networking.istio.io", "rbac.istio.io", "authentication.istio.io", "security.istio.io"]
resources: ["*"]
verbs: ["get", "list", "watch"]
【讨论】: