根据quickstart guide,必须向服务帐户授予privileged
scc才能运行istio。
oc adm policy add-scc-to-user privileged -z <target service account> -n <target-namespace>
我的问题是,为什么我需要授予privileged
?
答案 0 :(得分:0)
实际上,这些指令需要稍作更新。
但是对于本教程而言,我们需要放宽一些openshift的安全策略(不适用于实际的生产环境),因为Istio初始化容器需要访问NET_ADMIN功能才能为sidecar代理配置iptables重定向。 Sidecar代理不需要这种级别的功能,但是init容器则需要。
HTH