使用 Terraform 和 Helm 在 EKS 集群上安装 Istio答案

【问题标题】：Install Istio on EKS cluster using Terraform and Helm使用 Terraform 和 Helm 在 EKS 集群上安装 Istio
【发布时间】：2021-07-07 11:31:24
【问题描述】：

我是 Terraform 和 Helm 世界的新手！我需要在 AWS EKS 集群上设置 Istio。我正在尝试使用 Terraform 和 Helm 作为提供者在 EKS 集群上安装 Istio：以下是相同的 terraform 代码：

resource "kubernetes_namespace" "istio-system" {
  metadata {
    annotations = {
      name = "istio-namespace"
    }

    labels = {
      mylabel = "label-value"
    }

    name = "istio-namespace"
  }
}

resource "helm_release" "istio_base" {
  name       = "istio-base"
  chart      = "./manifests/charts/base"
  namespace  = "istio-system"
}

resource "helm_release" "istiod" {
  name       = "istiod"
  chart      = "./manifests/charts/istio-control/istio-discovery"
  namespace  = "istio-system"
}

resource "helm_release" "istio-ingress" {
  name       = "istio-ingress"
  chart      = "./manifests/charts/gateways/istio-ingress"
  namespace  = "istio-system"
}

resource "helm_release" "istio-egress" {
  name       = "istio-ingress"
  chart      = "./manifests/charts/gateways/istio-egress"
  namespace  = "istio-system"
}

谁能帮我回答我的几个问题：

我是否需要 Istio 和 helm 的服务帐户才能在 EKS 集群上安装 Istio？
是否需要创建特定的 IAM 角色才能在 EKS 集群上安装 Istio？
在 EKS 集群上安装 Istio 需要注意哪些安全检查？
假设将来我需要更改 helm chart 提供的一些默认值，我该如何更改这些值？假设将内存从 3072Mi 更改为 4000Mi
如何在 Istio 中使用 helm chart 启用 mTLS？
使用 helm chart 安装附加组件，例如 Kiali？

【问题讨论】：

不是你的 helm chart 的样子，它也会在 Kubernetes 中自动创建服务帐户。
对于任何使用它的人，您需要将name = "istio-ingress" 中的拼写错误更正为name = "istio-egress" 在resource "helm_release" "istio-egress"

标签： kubernetes terraform kubernetes-helm istio amazon-eks

【解决方案1】：

是的，您还必须创建 IAM 角色，如果您想为工作人员创建它，您也可以为其创建 IAM。

resource "aws_iam_role" "eksproject-cluster" {
  name = "terraform-eks-eksproject-cluster"

  assume_role_policy = <<POLICY
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
POLICY
}

https://github.com/prabhatpankaj/eks-terraform-istio

但如果您是 EKS 的管理员，则不需要创建 IAM，您可以直接设置 istio

helm template istio-1.1.4/install/kubernetes/helm/istio --name istio --namespace istio-system  --set grafana.enabled=true --set tracing.enabled=true --set kiali.enabled=true --set kiali.dashboard.secretName=kiali --set kiali.dashboard.usernameKey=username --set kiali.dashboard.passphraseKey=passphrase | kubectl apply -f -

假设将来我需要更改提供的一些默认值 by helm chart 如何更改这些值？比方说改变记忆从3072Mi到4000Mi

您也可以使用舵机

将值更新为 values.yaml 并运行命令

helm upragde istio -f values.yaml

如何在 Istio 中使用 helm chart 启用 mTLS？

对于服务之间或命名空间级别的 mTLS，您可能必须配置其他 YAML，或者您编辑图表将这些新 YAML 作为 helm 的一部分应用。

spec:
  mtls:
    mode: STRICT

使用 helm chart 安装附加组件，例如 Kali？

它已经是 helm 的一部分了

helm template istio-1.1.4/install/kubernetes/helm/istio --name istio --namespace istio-system  --set grafana.enabled=true --set tracing.enabled=true --set kiali.enabled=true --set kiali.dashboard.secretName=kiali --set kiali.dashboard.usernameKey=username --set kiali.dashboard.passphraseKey=passphrase | kubectl apply -f -

--set kiali.enabled=true 覆盖命令中的默认值。

【讨论】：

非常感谢您的回答！
@SwetaSharma，当然您可能正在等待其他答案，但您肯定知道最好的感谢就是接受答案。
@SwetaSharma 是的，你可以肯定在这种情况下命令将类似于helm install istio -f new-path.yaml
谢谢@anastaciu 和 Sweta Sharma。希望能解决这个问题，如果有其他问题，请告诉我。
github.com/prabhatpankaj/eks-terraform-istio#install-helm