RBAC

    Rancher Istio Chart 安装了三个 。

    • 在集群中安装 Istio 应用。
    • 为 Istio 配置资源分配。

    默认情况下,只有 Admin 和 Edit 角色可以:

    • 为命名空间启用和禁用 Istio sidecar 自动注入。
    • 将 Istio sidecar 添加到工作负载。
    • 查看集群的流量指标和流量图。
    • 配置 Istio 的资源(例如网关、目标规则或虚拟服务)。

    Rancher 将继续使用 cluster-owner、cluster-member、project-owner、project-member 等作为角色名称,但会使用默认角色来确定访问权限。每个默认的 K8s ClusterRole 都有不同的 Istio CRD 权限以及可以执行的 K8s 操作,包括 Create (C),Get (G),List (L),Watch (W),Update (U),Patch (P),Delete (D) 和 All (*)。

    CRDAdminEditView
    • config.istio.io
      • attributemanifests
      • handlers
      • httpapispecbindings
      • httpapispecs
      • instances
      • quotaspecbindings
      • quotaspecs
      • rules
      • templates
    		GLWGLWGLW
      • envoyfilters
      • gateways
      • serviceentries
      • sidecars
      • virtualservices
      • workloadentries
    		GLW
    • security.istio.io
      • authorizationpolicies
      • requestauthentications
    		GLW