istio pod不啟動及訪問報RBAC錯誤問題解決

istio pod不啟動問題解決

在kubernetes集群中安裝istio之后,在創建的depoyment中已經使用了注入注解sidecar.istio.io/inject: 'true’配置,但是istio pod不創建,代碼示例如下

kind: Deployment
apiVersion: apps/v1
metadata:name: name-anamespace: namespace-alabels:app: xxxxapp.kubernetes.io/name: xxxapp.kubernetes.io/version: v1version: v1annotations:deployment.kubernetes.io/revision: '5'servicemesh.kubesphere.io/enabled: 'true'
spec:replicas: 1selector:matchLabels:app: xxxxapp.kubernetes.io/name: xxxapp.kubernetes.io/version: v1version: v1template:metadata:creationTimestamp: nulllabels:app: xxxxapp.kubernetes.io/name: xxxapp.kubernetes.io/version: v1version: v1annotations:cni.projectcalico.org/ipv4pools: '["default-ipv4-ippool"]'kubesphere.io/restartedAt: '2024-03-01T05:44:45.617Z'sidecar.istio.io/inject: 'true'spec:containers:- name: xxx-v1image: image-a:0.0.1ports:- name: http-8080containerPort: 8080protocol: TCPresources:limits:cpu: '2'memory: 4Ginvidia.com/gpu: '0'requests:nvidia.com/gpu: '0'terminationMessagePath: /dev/termination-logterminationMessagePolicy: FileimagePullPolicy: AlwaysrestartPolicy: AlwaysterminationGracePeriodSeconds: 30dnsPolicy: ClusterFirstserviceAccountName: defaultserviceAccount: defaultsecurityContext: {}imagePullSecrets:- name: harbor-secretschedulerName: default-schedulerstrategy:type: RollingUpdaterollingUpdate:maxUnavailable: 25%maxSurge: 25%revisionHistoryLimit: 10progressDeadlineSeconds: 600

經排查對命名空間namespace-a需要設置注解屬性為enabled.
查看命令

kubectl get namespace -L istio-injection

查看各個命名空間是否鏡像istio-injection注解的設置。

使用一下命令對命名空間屬性進行配置

kubectl label namespace namespace-a istio-injection=enabled

RBAC: access denied 問題解決

部分參考 https://cloud.tencent.com/document/product/1261/62949

經過以上修改后,istio pod可以自動創建起來,但是訪問報錯 RBAC: access denied。
這里要查看授權策略,授權策略用于配置網格、namespace、服務/Workload 范圍的訪問管理規則。您可以通過 AuthorizationPolicy CRD 配置授權規則。AuthorizationPolicy 主要包含以下部分:

  • selector:指定策略的生效范圍。
  • action:指定該策略是 ALLOW 策略還是 DENY 策略。
  • rules:授權規則主體,由from,to,where 3 部分構成。
    • from:指定請求的來源特征。
    • to:指定請求的操作特征。
    • when:指定授權規則的生效條件。

當有 AuthorizationPolicy 的 ALLOW 和 DENY 策略應用于同一范圍時,DNEY 策略的優先級高于 ALLOW 策略,生效的規則如下:

  1. 如請求匹配任何一條 DENY 策略,則拒絕該請求的訪問。
  2. 如該范圍沒有任何 ALLOW 策略,則允許該請求的訪問。
  3. 如當前該范圍存在 ALLOW 策略,且請求匹配到了任何一條 ALLOW 策略,則允許該請求的訪問。
  4. 拒絕該請求的訪問。
    在這里插入圖片描述
    執行命令
    kubectl get AuthorizationPolicy -A
    查看所有的授權策略,發現在istio-system空間下,有一個global-deny-all的策略。使用以下命令刪除。
    kubectl delete AuthorizationPolicy -n istio-system global-deny-all

問題解決。

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/713106.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/713106.shtml
英文地址,請注明出處:http://en.pswp.cn/news/713106.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

力扣SQL50 大的國家 查詢

力扣SQL50 大的國家 查詢

Problem: 595. 大的國家 Code select name,population,area from World where area > 3000000 or population > 25000000;
閱讀更多...
Sora引發安全新挑戰

Sora引發安全新挑戰

文章目錄 前言一、如何看待Sora二、Sora加劇“深度偽造”憂慮三、Sora無法區分對錯四、濫用導致的安全危機五、Sora面臨的安全挑戰總結前言 今年2月,美國人工智能巨頭企業OpenAI再推行業爆款Sora,將之前ChatGPT以圖文為主的生成式內容全面擴大到視頻領域,引發了全球熱議,這…
閱讀更多...
【Leetcode每日一題】二分查找 - LCR 173. 點名(難度?)(24)

【Leetcode每日一題】二分查找 - LCR 173. 點名(難度?)(24)

1. 題目解析 Leetcode題目鏈接:LCR 173. 點名 這個問題的理解其實相當簡單,只需看一下示例,基本就能明白其含義了。 核心在于找到題目所給的連續數組中缺失的數字即可。 2.算法原理 在這個升序的數組中,我們發現: …
閱讀更多...
LeetCode # 1207. 獨一無二的出現次數

LeetCode # 1207. 獨一無二的出現次數

1207. 獨一無二的出現次數 題目 給你一個整數數組 arr,請你幫忙統計數組中每個數的出現次數。 如果每個數的出現次數都是獨一無二的,就返回 true;否則返回 false。 示例 1: 輸入:arr [1,2,2,1,1,3] 輸出&#xff1…
閱讀更多...
Java中Jenkins的應用簡介

Java中Jenkins的應用簡介

目錄 Java中Jenkins的應用什么是Jenkins?Jenkins在Java開發中的應用示例代碼和解決方案 Java中Jenkins的應用 Jenkins是一個流行的開源自動化服務器,可用于持續集成和持續交付。在Java開發中,Jenkins扮演著重要的角色,可以幫助團…
閱讀更多...
Fastadmin下拉選擇菜單

Fastadmin下拉選擇菜單

下拉菜單效果圖如下所示 對應的表字段為 cid int(11) unsigned NOT NULL DEFAULT ‘1’ COMMENT ‘分類ID 1 新手 2VIP 3基金產品’ 步驟如下: 一、lang/zh-cn 中找到對應的文件,添加 配置 二、Model 中添加方法 三、控制器中添加 四、add.html中 …
閱讀更多...
機器學習高手之路:發現TensorFlow學習網站的無限可能!

機器學習高手之路:發現TensorFlow學習網站的無限可能!

介紹:TensorFlow是一個由Google團隊開發的端到端開源機器學習平臺,專為數值計算和機器學習而設計。以下是對TensorFlow的詳細介紹: 開發背景與歷史:TensorFlow起源于谷歌的神經網絡算法庫DistBelief。它被設計成一個靈活的深度學習…
閱讀更多...
代碼隨想錄Day20 | Leetcode77 組合

代碼隨想錄Day20 | Leetcode77 組合

題目 給定兩個整數 n 和 k,返回范圍 [1, n] 中所有可能的 k 個數的組合。你可以按 任何順序 返回答案。示例 1: 輸入:n 4, k 2 輸出: [[2,4],[3,4],[2,3],[1,2],[1,3],[1,4], ]示例 2: 輸入:n 1, k 1 …
閱讀更多...
go并發模式之----工作池/協程池模式

go并發模式之----工作池/協程池模式

常見模式之四:工作池/協程池模式 定義 顧名思義,就是有固定數量的工人(協程),去執行批量的任務 使用場景 適用于需要限制并發執行任務數量的情況 創建一個固定大小的 goroutine 池,將任務分發給池中的 g…
閱讀更多...
順序表基礎

順序表基礎

?錄 1. 課前準備 2. 順序表概念及結構 3. 順序表分類 4. 實現動態順序表 正?開始 課前預備 1. 課程?標 C語?語法基礎到數據結構與算法,前?已經掌握并具備了扎實的C語?基礎,為什么要學習數據結構 課程??通訊錄項? 2. 需要…
閱讀更多...
小程序分賬方案:實現商戶分賬的簡便與靈活

小程序分賬方案:實現商戶分賬的簡便與靈活

隨著移動支付的普及和小程序的快速發展,越來越多的商家選擇在微信小程序上開展業務。然而,對于一些有多個分賬方的商戶而言,如何實現快速、準確和靈活的資金分賬成為了一個挑戰。本文將介紹一種高效的小程序分賬方案,幫助商戶輕松…
閱讀更多...
C++ STL 優先隊列(priority_queue)

C++ STL 優先隊列(priority_queue)

1.優先隊列是一種極其特殊的隊列,他與標準的隊列使用線性結構進行計算不同,優先隊列的底層是以散列的狀態(非線性)表現的,他與標準的隊列有如下的區別,標準的隊列遵從嚴格的先進先出,優先隊列并…
閱讀更多...
負載均衡Ribbon和LoadBalancer

負載均衡Ribbon和LoadBalancer

Ribbon和LoadBalancer都是用于實現負載均衡的工具,但它們在應用場景和實現方式上有所不同。 Ribbon 是一個客戶端負載均衡器,它是一個Java庫,可以在客戶端應用程序中使用。通過在客戶端應用程序中維護服務實例列表,并使用負載均衡…
閱讀更多...
修改docker默認存儲位置【高版本的docker】

修改docker默認存儲位置【高版本的docker】

一、修改docker默認存儲位置 1、停服務 systemctl stop docker 2、修改/etc/docker/daemon.json添加新的dcoker路徑 如"data-root": "/mnt/hdd1/docker" 3、保存后重啟服務:systemctl restart docker 二、其他服務的命令 systemctl disab…
閱讀更多...
AcWing 787. 歸并排序 解題思路及代碼

AcWing 787. 歸并排序 解題思路及代碼

先貼個題目&#xff1a; 以及原題鏈接&#xff1a;787. 歸并排序 - AcWing題庫https://www.acwing.com/problem/content/789/純板子題&#xff0c;先貼代碼吧&#xff0c;根據代碼講思路&#xff1a; #include <iostream> using namespace std;const int N 1e5 10; in…
閱讀更多...
【Maven】Maven 基礎教程(三):build、profile

【Maven】Maven 基礎教程(三):build、profile

《Maven 基礎教程》系列&#xff0c;包含以下 3 篇文章&#xff1a; Maven 基礎教程&#xff08;一&#xff09;&#xff1a;基礎介紹、開發環境配置Maven 基礎教程&#xff08;二&#xff09;&#xff1a;Maven 的使用Maven 基礎教程&#xff08;三&#xff09;&#xff1a;b…
閱讀更多...
修飾符【C#】

修飾符【C#】

分為四部分&#xff1a;屬性修飾符&#xff0c;存取修飾符&#xff0c;類修飾符和成員修飾符。 屬性修飾符&#xff1a; [Serializable]&#xff1a;按值將對象封送到遠程服務器。在按值封送對象時&#xff0c;就會創建一個該對象的副本&#xff0c;并將其序列化傳送到服務器…
閱讀更多...
TCP/UDP,HTTP、HTTPS存在什么風險會影響到網絡安全嗎

TCP/UDP,HTTP、HTTPS存在什么風險會影響到網絡安全嗎

近年來&#xff0c;隨著網絡技術的飛速發展&#xff0c;互聯網影響人們的方方面面&#xff0c;我們平時也接觸到許多以前從未聽過的東西&#xff0c;今天德迅云安全就來分享下一些互聯網安全知識&#xff0c;講解一些關于常看到的關于IP, TCP/UDP&#xff0c;HTTP、HTTPS這些名…
閱讀更多...
QT之液晶電子時鐘

QT之液晶電子時鐘

根據qt的<QLDNumber>做了一個qt液晶電子時鐘. 結果 實時顯示當前時間,左鍵可以拖動時鐘在屏幕的位置,右鍵點擊關閉顯示. 實現過程 新建一個class文件,讓這個文件的父類是QLCDNumber 相關功能變量定義和函數實現 .c文件代碼 這里需要注意的一點是event->button是獲取的…
閱讀更多...
SpringMVC自定義視圖解析器

SpringMVC自定義視圖解析器

/** * 使用View接口完成請求轉發|重定向 * 解釋: * SpringMVC的官方&#xff0c;提供了一個叫做View的接口&#xff0c;告訴開發人員 * DispatcherServlet底層會調用View接口的實例化對象中的邏輯方法 * 來完成對應的請求轉發和重定向。 * 使用: * 1. 單元方法的返回值為View接…
閱讀更多...
最新文章

Copyright @ 2022~2023