如何使用命名空间级别的权限(没有集群管理权限)设置Istio或Linkerd?
我们使用的是 K8s 集群,但我们没有集群级别的权限,因此我们只能在命名空间上创建 Role 和 ServiceAccount,并且只需要在命名空间中安装服务网格解决方案(Istio 或 Linkerd)。
我们的运营团队将同意为我们在集群上应用CRDs,因此该部分得到了处理,但是我们不能请求集群管理权限来设置服务网格解决方案。
我们认为,如果我们在 Helm 图表上将所有 ClusterRoles 和 ClusterRoleBindings 更改为 Roles 和 RoleBindings,那么应该可以做到这一点。
所以,问题是:我们如何在没有K8s集群管理员权限的情况下使用Istio或Linkerd设置服务网格?
共有1个答案
如果没有特定的ClusterRoles、ClusterRoleBinding等,Linkerd无法运行。然而,它确实提供了两阶段安装模式,其中一个阶段对应于“所需的群集管理权限”(也称为“将此权限授予您的运营团队”),另一个阶段则对应于“不需要的群集管理许可”(自行完成此部分)。
所需的集群管理权限集被缩小到尽可能小的范围,并且可以被检查(< code > linkerd install config 命令只是将它输出到stdout。)
详见https://linkerd.io/2/tasks/install/#multi-stage-install。
在上下文中,我们最初尝试使用一种不需要集群级特权的模式,但很明显,我们在K8s的操作方式上与实际情况背道而驰,最终我们放弃了这种方法,转而使用控制平面集群,但多租户。
-
我需要在集群级或命名空间级(尽可能)配置以下限制: 不允许运行pod作为previldged 不允许pod作为uid 0运行 不允许任何吊舱使用主机网络命名空间 Kubernetes 1.12,带RBAC
-
之前讲了单个账户的权限的增、删、改、查及一系列操作,并没有讲到权限的使用,那么如果我们增加一个权限,但是不会用它,那又有什么意义呢? 所以,今天就来学习一下权限的使用。 说明: 本教程,通过eosio.token合约的transfer来进行演示。 目录 创建eosio.token并发放eosio.token合约 创建测试账号eostea 测试账号eostea发放代币 测试账号转账给账号hello
-
我将一个应用程序从Parse.com(hosted)迁移到self-hosted*解析服务器实现(https://github.com/parseplatform/parse-server)。 我的应用程序在很大程度上依赖于类级权限,因此,例如,所有使用公钥的用户都可以读取全局设置,但没有主密钥的用户不能编辑或删除全局设置。
-
权限管理 权限管理机制是 hyperledger fabric 项目的一大特色。下面给出使用权限管理的一个应用案例。 启动集群 首先下载相关镜像。 $ docker pull yeasy/hyperledger:latest $ docker tag yeasy/hyperledger:latest hyperledger/fabric-baseimage:latest $ docker pull
-
添加 找到一个你要添加的位置“右击” 在弹出的下拉选项中选择“添加同级”或“添加下级” 在弹出的对话框输入相关信息 路由名称 路由路径,支持 /app/{namespace}/{id:+0~9} 或 /app/:namespace/:id 两种写法 Icon: 如果是菜单填ant.design支持的icon就行 HTTP请求的Method,支持 GET、POST、DELETE、PUT等 是否是菜单
-
细节 一个文件主要包含下列属性,ls -l - rwxrwxrwx user group date filename 111 101 101 归属用户的权限 归属群组的权限 其它用户的权限 归属用户 归属群组 日期信息 文件名称 对于文件夹,必须拥有它的可执行权限,才能够使用 cd 命令进入该文件夹;拥有可读权限,才能够使用 ls 命令查看该文件夹的文件列表。 root用户