我们使用的是 K8s 集群,但我们没有集群级别的权限,因此我们只能在我们的命名空间上创建Role和ServiceAccount,并且我们只需要在我们的命名空间中安装服务网格解决方案(Istio 或 Linkerd)。
我们的运营团队将同意为我们在集群上应用 CRD,以便处理这部分,但我们不能请求集群管理员权限来设置服务网格解决方案。
我们认为如果我们将Helm 图表上的所有ClusterRoles 和ClusterRoleBindings都更改为Roles和 s,应该可以做到这一点。RoleBinding
所以,问题是:我们如何在没有 K8s 集群管理员权限的情况下使用 Istio 或 Linkerd 设置服务网格?
如果没有某些 ClusterRoles、ClusterRoleBindings 等,Linkerd 将无法运行。但是,它确实提供了两阶段安装模式,其中一个阶段对应于“需要集群管理员权限”(也就是将其交给您的运营团队),而另一个阶段对应于“集群管理员权限”需要”(自己做这部分)。
所需的集群管理员权限集的范围尽可能小,并且可以检查(该linkerd install config命令只是将其输出到标准输出。)
有关详细信息,请参阅https://linkerd.io/2/tasks/install/#multi-stage-install。
就上下文而言,我们最初试图拥有一种不需要集群级权限的模式,但很明显我们在 K8s 的运行方式上违背了规律,我们最终放弃了这种方法,转而支持在集群范围内创建控制平面但多租户。