在 Azure 上运行 Istio 的注意事项
- ACS Engine: v0.12.4
- Istio: v0.5.0
- Kubernetes: v1.8.7
在 Istio 注入之后,生成的 Init 容器中会有 RunAs 的 SecurityContext,而 ACS Engine 的缺省 admission 包含了SecurityContextDeny,会拒绝这一选项,造成 Istio Workload 无法运行,
解决方法很简单,只要在定义文件中修改 api server 配置:
"properties": {
"orchestratorProfile": {
"kubernetesConfig": {
"apiServerConfig": {
"--request-timeout": "30s",
"--admission-control": "NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota,DenyEscalatingExec,AlwaysPullImages"
}
崔秀龙
简单,是大师的责任;我们凡夫俗子,能做到清楚就很不容易了。