我们正在使用K8s集群,但是没有集群级别的权限,因此我们只能在名称空间上创建Role和ServiceAccount,并且需要安装服务网格解决方案(Istio或Linkerd )仅在我们的命名空间中。
我们的运营团队将同意为我们在群集上应用CRD,以便部分处理,但我们无法请求群集管理员权限来设置服务网格解决方案。
我们认为,如果将Helm图表上的所有ClusterRole和ClusterRoleBinding更改为Role和RoleBinding,应该可以做到这一点。 / p>
所以,问题是:如何在没有K8s集群管理员权限的情况下使用Istio或Linkerd设置服务网格?
答案 0 :(得分:2)
如果没有某些ClusterRoles,ClusterRoleBindings等,Linkerd将无法运行。但是,它确实提供了一种两阶段的安装模式,其中一个阶段对应于“所需的集群管理员权限”(又称此权限给您的操作团队),而另一个则对应于“集群”不需要管理员权限”(请自己完成)。
所需的群集管理员权限集的范围应尽可能小,并且可以检查(linkerd install config命令仅将其输出到stdout。)
有关详细信息,请参见https://linkerd.io/2/tasks/install/#multi-stage-install。
对于上下文,我们最初试图拥有一种不需要集群级特权的模式,但是很明显,我们在K8的工作方式上与我们背道而驰,最后我们放弃了这种方法,而转向制造控制平面。集群范围内但多租户。