如何解决Istio Init 容器不适用于 Pod 安全策略
我正在使用 Istio Service Mesh 1.8.6 运行 AWS EKS 1.16。我已经应用了 Pod 安全策略,我拒绝特权容器、以 Root 身份运行和特权升级,并允许 NET_RAW 和 NET_ADMIN 功能,因为 Istio init 容器需要它们。
但是 Istio_init 容器以 root (UID 0) 身份运行,因此无法针对 PSP 进行验证。我尝试为 sidecar-injector 更改 Istio 配置映射中 init 容器的 UID,但 istio-init 容器失败,指出它无法获取 iptables。
所以我假设 istio_init 肯定需要以 root 身份运行?
如何让 Istio_init 容器以非 root 身份运行?
我尝试启用 Istio CNI,但这弄乱了我的 EKS 实施。工作节点立即被标记为不健康,因此我不得不禁用 Istio CNI 并安装 AWS VPC CNI。
任何建议/方向将不胜感激。
解决方法
你是如何安装 istio 的?使用 IstioOperator,您可以将 values.global.proxy.privileged=false
设置为具有非特权 sidecars/init 容器。
关于以非 root 用户运行,我不确定 istio-init
容器是否可行:https://github.com/istio/istio/issues/23705(如已建议的那样,您是否尝试过 istio CNI 插件)。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。