From d7d6bf121c0a3e177bd390f282be06028864e7b8 Mon Sep 17 00:00:00 2001 From: Wilson Wu Date: Thu, 16 May 2024 18:07:35 +0800 Subject: [PATCH] Sync #15108 ddd note about `RunAs` fields in Customizing Injection section into Chinese (#15125) --- .../docs/setup/additional-setup/sidecar-injection/index.md | 5 +++-- 1 file changed, 3 insertions(+), 2 deletions(-) diff --git a/content/zh/docs/setup/additional-setup/sidecar-injection/index.md b/content/zh/docs/setup/additional-setup/sidecar-injection/index.md index 875a0cde34..0e610ce594 100644 --- a/content/zh/docs/setup/additional-setup/sidecar-injection/index.md +++ b/content/zh/docs/setup/additional-setup/sidecar-injection/index.md @@ -224,16 +224,17 @@ spec: * Kubernetes 要求在注入运行之前配置 `image`。虽然可以您可以设置一个指定的 Image 来覆盖默认的 `image` 配置,但建议将 `image` 设置为 `auto`,可使 Sidecar 注入自动选择要使用的 Image。 - * `Pod` 中一些字段取决于相关设置。例如,CPU 请求必须小于 CPU 限制。 如果两个字段没有一起配置,Pod 可能会无法启动。 +* 在某些情况下,`securityContext.RunAsUser` 和 `securityContext.RunAsGroup` 字段可能不会被接受, + 例如,当使用 `TPROXY` 模式时,因为它要求 Sidecar 以用户 `0` 运行。 + 错误地覆盖这些字段可能会导致流量丢失,因此应格外小心。 另外,某些字段可通过在 Pod 上的[注解](/zh/docs/reference/config/annotations/)进行配置, 但是不建议使用上述方法进行自定义设置。必须特别注意某些注解: * 如果设置了 `sidecar.istio.io/proxyCPU`,则务必显式设置 `sidecar.istio.io/proxyCPULimit`。 否则该 Sidecar 的 `cpu` 限制将被设置为 unlimited。 - * 如果设置了 `sidecar.istio.io/proxyMemory`,则务必显式设置 `sidecar.istio.io/proxyMemoryLimit`。 否则该 Sidecar 的 `memory` 限制将被设置为 unlimited。