在现有 GKE 集群上启用 RBAC

Question

我们已经在 GKE 上运行了大约三年的集群。 因此，启用了旧版授权。

控制平面已自动更新，我们的节点池混合运行 1.12 和 1.14。

我们有越来越多的服务，并计划逐步采用 istio。

我们希望启用最小的 RBAC 设置，而不会导致我们的服务出现错误和停机。

我还没有找到有关如何完成此操作的任何指南。 有人说只是为了在 GKE 集群上启用 RBAC 授权，但我认为这会关闭我们所有的服务。

也有人暗示 k8s 可以在混合 ABAC/RBAC 模式下运行，但我们无法判断是否如此！

是否有针对 GKE 迁移到 RBAC 的良好指南？

Answer 1

如果您的集群是区域性的，升级时您的应用程序不会停机，但如果您的集群是单区域或多区域的，最好的方法是：

1. 添加新的节点池
2. 封锁旧节点池，将应用迁移到新节点池
3. 迁移所有 pod 后删除旧节点池。

这是在不停机的情况下更新节点池（区域）的最安全方式。 请阅读下面的参考资料以详细了解每个步骤。

参考：

https://kubernetes.io/docs/concepts/architecture/nodes/#reliability https://kubernetes.io/docs/reference/kubectl/cheatsheet/#interacting-with-nodes-and-cluster