当前实现将用户 pod 流量转发到 proxy 的默认方式是使用 privileged 权限的 istio-init 这个 init container 来做的(运行脚本写入 iptables),Istio CNI 插件的主要设计目标是消除这个 privileged 权限的 init container,换成利用 k8s CNI 机制来实现相同功能的替代方案
--network-plugin=cni
(该参数只有两个可选项:kubenet
, cni
)istioctl kube-inject
将不再注入 initContainers (istio-init)--cni-bin-dir
指定的路径,默认是/opt/cni/bin
)/var/run/secrets/kubernetes.io/serviceaccount
)--cni-conf-dir
所指定的目录,默认是/etc/cni/net.d
)cni-conf-dir
),如果检测到被修改就重新改回来Working Groups/Networking/Istio CNI Plugin
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。