Istio:openshift上的特权scc

时间:2018-07-31 07:21:16

标签: openshift istio

根据quickstart guide,必须向服务帐户授予privileged scc才能运行istio。

oc adm policy add-scc-to-user privileged -z <target service account> -n <target-namespace>

我的问题是,为什么我需要授予privileged

1 个答案:

答案 0 :(得分:0)

实际上,这些指令需要稍作更新。

但是对于本教程而言,我们需要放宽一些openshift的安全策略(不适用于实际的生产环境),因为Istio初始化容器需要访问NET_ADMIN功能才能为sidecar代理配置iptables重定向。 Sidecar代理不需要这种级别的功能,但是init容器则需要。

HTH