处于 Autopilot 模式的 GKE 上的 Istio

Question

您好，我正在查看 GKE 自动驾驶模式，并注意到在集群配置中 istio 被禁用，我无法更改它。此外，通过 istioctl install 安装失败并出现以下错误

 error   installer       failed to update resource with server-side apply for obj MutatingWebhookConfiguration//istio-sidecar-injector: mutatingwebhookconfigurations.admissionregistration.k8s.io "istio-sidecar-injector" is forbidden: User "something@example" cannot patch resource "mutatingwebhookconfigurations" in API group "admissionregistration.k8s.io" at the cluster scope: GKEAutopilot authz: cluster scoped resource "mutatingwebhookconfigurations/" is managed and access is denied

我是对的还是无法在 GKE 自动驾驶模式下运行 istio？

Answer 1

TL; 博士

目前无法在 GKE 自动驾驶模式下运行 istio。

结论

如果您使用 Autopilot，则无需管理节点。您不必担心更新、扩展或更改操作系统等操作。但是，自动驾驶仪有许多限制。

即使您尝试使用命令安装 istio istioctl install，也不会安装 istio。然后，您将看到以下消息：

这会将 Istio 配置文件安装到集群中。继续？(y/N) 是

? 安装了 Istio 核心
？Istiod 安装了
吗？Ingress gateways 遇到错误：failed to wait for resource: resources not ready after 5m0s: timed out waiting for the condition Deployment/istio-system/istio-ingressgateway

• 修剪删除的资源 2021-05-07T08:24:40.974253Z 警告安装程序检索资源以修剪类型准入注册.k8s.io/v1beta1，Kind=MutatingWebhookConfiguration: mutatingwebhookconfigurations.admissionregistration.k8s.io is listsome forbidden:集群范围内 API 组“admissionregistration.k8s.io”中的资源“mutatingwebhookconfigurations”：GKEAutopilot authz：管理集群范围内的资源“mutatingwebhookconfigurations/”并且未找到访问被拒绝错误：安装清单失败：操作期间发生错误

此命令失败，bacuse为三轮注射，安装程序将尝试创建一个MutatingWebhookConfiguration称为istio-三轮注射器。这里提到了这个限制。

有关更多信息，您还可以阅读此页面。