自动驾驶模式下GKE的Istio

Question

嗨，我正在查看GKE自动驾驶仪模式，注意到在集群配置中，istio是禁用的，我无法更改它。另外，通过istioctl安装失败，有以下错误

 error   installer       failed to update resource with server-side apply for obj MutatingWebhookConfiguration//istio-sidecar-injector: mutatingwebhookconfigurations.admissionregistration.k8s.io "istio-sidecar-injector" is forbidden: User "something@example" cannot patch resource "mutatingwebhookconfigurations" in API group "admissionregistration.k8s.io" at the cluster scope: GKEAutopilot authz: cluster scoped resource "mutatingwebhookconfigurations/" is managed and access is denied

我是正确的，还是不可能在GKE自动驾驶模式下运行istio？

Answer 1

TL；博士

目前不可能在GKE自动驾驶模式下运行istio。

结论

如果您正在使用Autopilot，则不需要管理节点。您不必担心诸如更新、缩放或更改操作系统之类的操作。然而，自动驾驶仪有许多局限性。

即使您试图使用命令istioctl install安装istio，也不会安装istio。然后，您将看到以下消息：

这将将Istio配置文件安装到集群中。继续吗？(y/N) y

安装✔Istio核

安装✔Istiod

✘入侵网关遇到一个错误:未能等待资源:资源在5mps之后未准备好:超时等待条件部署/istio/ingressgateway

• 修剪删除的资源2021-05-07T08:24:40.974253Z警告安装程序检索资源到剪枝类型许可注册.k8s.io/v1beta1，mutatingwebhookconfigurations.admissionregistration.k8s.io :Kind=MutatingWebhookConfiguration是被禁止的:在API组"admissionregistration.k8s.io“中，用户”某某@示例“不能在集群范围内列出资源”admissionregistration.k8s.io“：GKEAutopilot authz:集群作用域资源"mutatingwebhookconfigurations/”被管理，访问被拒绝，没有找到错误:安装清单失败:在操作期间发生错误。

这个命令失败了，对侧脑室注射来说，安装程序试图创建一个名为istio注入器的MutatingWebhookConfiguration。这个限制是这里提到的。

有关更多信息，您还可以使用读这一页。

Answer 2

根据文档，不可能创建可变的接纳网络钩子

您不能为Autopilot集群创建自定义的可变接纳webhooks

因为Istio使用变异的webhooks注入它的侧翼，它可能无法工作，而且它也与您得到的错误相一致。

Answer 3

根据文件，GKE 1.21应该可以做到这一点：

在GKE版本1.21.3-gke.900及更高版本中，您可以创建验证和变异动态接纳webhooks。但是，Autopilot修改接纳webhooks对象以添加命名空间选择器，该命名空间选择器排除托管命名空间(目前是kube-system)中的资源被拦截。此外，在规则中指定下列一个或多个资源(及其任何子资源)的web挂钩将被拒绝：

• 组："“资源:节点
• 组: certificates.k8s.io资源:证书签名请求
• 组: authentication.k8s.io资源:令牌评论

局限性