В настоящее время я оцениваю сетку istio в развертывании кубернетов с нуля. Пока все в порядке, я использую автоматическую инъекцию sidecar с метками пространства имен.
Теперь к моему вопросу:
Следует ли также пометить пространства имен kube-system и istio-system для внедрения sidecar? Или это не рекомендуется?
Спасибо за любой совет
Следует ли также пометить пространства имен kube-system и istio-system для внедрения sidecar?
Нет, не должно.
Это противоречит правилам безопасности.
- коляски не могут быть введены в
kube-systemилиkube-publicпространства имен- коляски не могут быть введены в контейнеры, которые используют хост-сеть
Пожалуйста прочтите это Webhook для впрыска коляски