Kubernetes 8 kümesine dümen 2.6.2'yi kurdum. helm initiyi çalıştı. ama çalıştırdığımda helm listbu hatayı veriyor.
helm list
Error: configmaps is forbidden: User "system:serviceaccount:kube-system:default" cannot list configmaps in the namespace "kube-system"
Bu RABC hata mesajı nasıl düzeltilir?
Yanıtlar:
Bu komutlardan sonra:
kubectl create serviceaccount --namespace kube-system tiller
kubectl create clusterrolebinding tiller-cluster-rule --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'
helm init --service-account tiller --upgrade
çalıştırıldı, sorun çözüldü.
The accepted answer gives full admin access to Helm which is not the best solution security wise(bkz. stackoverflow.com/a/53277281/2777965 ).
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'alıyorumError from server (NotFound): deployments.extensions "tiller-deploy" not found
Kabul edilen yanıt, güvenlik açısından en iyi çözüm olmayan Helm'e tam yönetici erişimi sağlar. Biraz daha çalışarak, Miğfer'in belirli bir ad alanına erişimini kısıtlayabiliriz. Dümen belgelerinde daha fazla ayrıntı .
$ kubectl create namespace tiller-world
namespace "tiller-world" created
$ kubectl create serviceaccount tiller --namespace tiller-world
serviceaccount "tiller" created
Tiller'ın tüm kaynakları aşağıdaki tiller-worldgibi yönetmesine izin veren bir Rol tanımlayın role-tiller.yaml:
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: tiller-manager
namespace: tiller-world
rules:
- apiGroups: ["", "batch", "extensions", "apps"]
resources: ["*"]
verbs: ["*"]
O zaman koş:
$ kubectl create -f role-tiller.yaml
role "tiller-manager" created
İçinde rolebinding-tiller.yaml,
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: tiller-binding
namespace: tiller-world
subjects:
- kind: ServiceAccount
name: tiller
namespace: tiller-world
roleRef:
kind: Role
name: tiller-manager
apiGroup: rbac.authorization.k8s.io
O zaman koş:
$ kubectl create -f rolebinding-tiller.yaml
rolebinding "tiller-binding" created
Daha sonra helm initTiller'ı tiller-worldad alanına kurmak için çalıştırabilirsiniz .
$ helm init --service-account tiller --tiller-namespace tiller-world
Şimdi tüm komutların önüne , ortam değişkenlerinizde yer alan --tiller-namespace tiller-worldveya bunları TILLER_NAMESPACE=tiller-worldekleyin.
Tiller'ı kullanmayı bırakın. Miğfer 3, Tiller ihtiyacını tamamen ortadan kaldırır. Helm 2 kullanıyorsanız helm template, Helm grafiğinizden yaml oluşturmak için kullanabilir ve ardından kubectl applynesneleri Kubernetes kümenize uygulamak için çalıştırabilirsiniz .
helm template --name foo --namespace bar --output-dir ./output ./chart-template
kubectl apply --namespace bar --recursive --filename ./output -o yaml
--tiller-namespace tiller-worldveya bunları ayarlamanız gerekecektir TILLER_NAMESPACE=tiller-world.
Helm, "varsayılan" hizmet hesabıyla çalışır. Ona izin vermelisiniz.
Salt okunur izinler için:
kubectl create rolebinding default-view --clusterrole=view --serviceaccount=kube-system:default --namespace=kube-system
Yönetici erişimi için: Örn: paketleri kurmak için.
kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default
kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:defaultsonra ve koşmak helm listhala olsunError: configmaps is forbidden: User "system:serviceaccount:tiller:default" cannot list configmaps in the namespace "tiller": no RBAC policy matched
Varsayılan hizmet hesabının API izinleri yoktur. Helm'e büyük olasılıkla bir hizmet hesabı atanması ve bu hizmet hesabına API izinleri verilmesi gerekir. Hizmet hesaplarına izin vermek için RBAC belgelerine bakın: https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions
apiVersion: v1
kind: ServiceAccount
metadata:
name: tiller
namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: tiller
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: tiller
namespace: kube-system
kubectl apply -f your-config-file-name.yaml
ve ardından dümen kurulumunu serviceAccount kullanmak için güncelleyin:
helm init --service-account tiller --upgrade
Çevrimdışı modda dümen kurmaya çalışırken bu hatayı aldım, 'tiller' hizmet hesabının yeterli haklara sahip olmadığını düşündüm, ancak bir ağ politikasının tiller ile api sunucusu arasındaki iletişimi engellediği ortaya çıktı.
Çözüm, yeke için tüm çıkış iletişimine izin veren bir ağ politikası oluşturmaktı
AWS'den bir EKS kümesi kullanıyorsanız ve yasak bir sorunla karşı karşıyaysanız ( örneğin : forbidden: User ... cannot list resource "jobs" in API group "batch" in the namespace "default"bu benim için çalıştı:
Çözüm:
--clusterrole=cluster-adminizin sorunlarını kesinlikle çözeceğini, ancak istediğiniz düzeltme olmayabileceğini unutmayın. İhtiyacınız olan tam izinlerle kendi hizmet hesaplarınızı, (küme) rollerinizi ve (küme) rol bağlantılarınızı oluşturmanız daha iyidir.