1

我正在使用 Istio Service Mesh 1.8.6 运行 AWS EKS 1.16。我已经应用了 Pod 安全策略,我拒绝特权容器、以 Root 身份运行和特权升级,并允许 NET_RAW 和 NET_ADMIN 功能,因为 Istio init 容器需要它们。

但是 Istio_init 容器以 root (UID 0) 身份运行,因此无法针对 PSP 进行验证。我尝试在 Istio configmap 中为 sidecar-injector 更改 init 容器的 UID,但 istio-init 容器失败,表明它无法获取 iptables。

所以我假设 istio_init 肯定需要以 root 身份运行?

如何让 Istio_init 容器以非 root 身份运行?

我尝试启用 Istio CNI,但这搞砸了我的 EKS 实现。工作节点立即被标记为不健康,因此我不得不禁用 Istio CNI 并安装 AWS VPC CNI。

任何建议/方向将不胜感激。

4

1 回答 1

0

你是如何安装 istio 的?使用 IstioOperator,您可以将其设置 values.global.proxy.privileged=false为具有非特权 sidecar/init 容器。关于以非 root 用户运行,我不确定istio-init容器是否可行:https ://github.com/istio/istio/issues/23705 (如果您尝试使用 istio CNI 插件,正如已经建议的那样)。

于 2021-05-18T20:55:46.037 回答