我目前正在裸机 kubernetes 部署中评估 istio 网格。到目前为止一切正常,我使用带有命名空间标签的 sidecar 自动注入。
现在回答我的问题:
命名空间 kube-system 和 istio-system 是否也应该标记为 sidecar 注入?或者说这并不可取?
谢谢你的建议
答案1
命名空间 kube-system 和 istio-system 是否也应该标记为 sidecar 注入?
不,不应该。
这违反了安全规则。
- 无法将 sidecar 注入
kube-system或kube-public命名空间中- 无法将 sidecar 注入到使用主机网络的 pod 中
请阅读这个Sidecar 注入 Webhook