IstioのPodに必要な特権

YAMLを見るとこんな感じ。

name: istio-init
    resources:
      limits:
        cpu: "2"
        memory: 1Gi
      requests:
        cpu: 100m
        memory: 128Mi
    securityContext:
      allowPrivilegeEscalation: false
      capabilities:
        add:
        - NET_ADMIN
        - NET_RAW
        drop:
        - ALL

というわけで２種類のケーパビリティが付与されています。

１つ目の「NET_ADMIN」ですが、まさにこれがiptablesをいじる設定。
Kubernetesだけではなく、docker runするときに付与する--cap-add=NET_ADMINオプションでもあります。そして「NET_RAW」を付与すると任意のパケットを送れるようになります。

というわけでセキュリティ厳しい場合は使えないんですね。