[英]Istio on GKE in Autopilot mode
您好,我正在查看 GKE 自動駕駛模式,並注意到在集群配置中 istio 被禁用,我無法更改它。 通過 istioctl install 安裝也失敗並出現以下錯誤
error installer failed to update resource with server-side apply for obj MutatingWebhookConfiguration//istio-sidecar-injector: mutatingwebhookconfigurations.admissionregistration.k8s.io "istio-sidecar-injector" is forbidden: User "something@example" cannot patch resource "mutatingwebhookconfigurations" in API group "admissionregistration.k8s.io" at the cluster scope: GKEAutopilot authz: cluster scoped resource "mutatingwebhookconfigurations/" is managed and access is denied
我是正確的還是無法在 GKE 自動駕駛模式下運行 istio?
TL;博士
目前無法在 GKE 自動駕駛模式下運行 istio。
結論
如果您使用 Autopilot,則無需管理節點。 您不必擔心更新、縮放或更改操作系統等操作。 但是,自動駕駛儀有許多限制。
即使您嘗試使用命令istioctl install istio,也不會安裝 istio。 然后您將看到以下消息:
這會將 Istio 配置文件安裝到集群中。 繼續? (是/否)是
✔ 已安裝 Istio 核心
✔ Istiod 已安裝
✘ Ingress gateways 遇到錯誤:等待資源失敗:5m0s 后資源未准備好:等待條件 Deployment/istio-system/istio-ingressgateway 超時
該命令失敗,因為sidecar injection ,安裝程序嘗試創建一個名為istio -sidecar-injector 的 MutatingWebhookConfiguration 。 這里提到了這個限制。
有關更多信息,您還可以閱讀此頁面。
根據文檔創建變異准入 webhook 是不可能的
您無法為 Autopilot 集群創建自定義變異准入 webhook
由於 Istio 使用 mutating webhook 來注入它的 sidecar,它可能無法工作,並且它也與您得到的錯誤一致。
根據文檔,這應該可以使用 GKE 1.21:
在 GKE 版本 1.21.3-gke.900 及更高版本中,您可以創建驗證和變異動態准入 webhook。 但是,Autopilot 修改了 admission webhooks 對象以添加一個命名空間選擇器,該選擇器排除了托管命名空間(當前為 kube-system)中的資源被攔截。 此外,在規則中指定一個或多個以下資源(及其任何子資源)的 webhook 將被拒絕:
- 組:“”資源:節點
- 組:certificates.k8s.io 資源:certificatesigningrequests
- 組:authentication.k8s.io 資源:tokenreviews
https://cloud.google.com/kubernetes-engine/docs/concepts/autopilot-overview#webhooks_limitations
是否可以在“自動駕駛”模式下在 Google GKE 上安裝 KNative?
[英]Is it possible to install KNative on Google GKE in "Autopilot" mode?
GKE Autopilot:如何向 GKE Autopilot 添加/管理 SSL 證書
[英]GKE Autopilot: How to add/manage SSL Certificate to GKE autopilot
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.