operator

依赖

您可以让Istio operator 为您管理安装,而不是在生产环境中手动安装,升级和卸载Istio 。这减轻了您管理不同istioctl版本的负担。只需更新 operator自定义资源(CR) operator控制器将为您应用相应的配置更改。 使用istioctl安装说明时,使用相同的IstioOperatorAPI通过 operator安装Istio 。在这两种情况下,都将根据架构验证配置并执行相同的正确性检查。

使用operator安装具有安全隐患。使用该 istioctl install命令,该操作将在管理员用户的安全上下文中运行,而使用operator,集群中的容器将在其安全上下文中运行该操作。为避免漏洞,请确保operator部署得到充分保护。

部署

istioctl operator init

此命令通过在istio-operator名称空间中创建以下资源来运行operator:

• operator自定义资源定义

• operator控制器部署

• 一种访问operator指标的服务

• 必要的Istio operator RBAC规则

您可以配置 operator控制器安装在哪个名称空间, operator监视的名称空间,已安装的Istio镜像源和版本等。例如,您可以使用一个--watchedNamespaces标志传递一个或多个名称空间以进行监视:

istioctl operator init --watchedNamespaces=istio-namespace1,istio-namespace2

helm安装istio operator

helm template manifests/charts/istio-operator/ \
  --set hub=docker.io/istio \
  --set tag=1.8.0 \
  --set operatorNamespace=istio-operator \
  --set watchedNamespaces=istio-system | kubectl apply -f -

使用operator安装istio

kubectl create ns istio-system
kubectl apply -f - <<EOF
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  namespace: istio-system
  name: example-istiocontrolplane
spec:
  profile: demo
EOF